Overføring av personopplysninger og bruk av Google Analytics: Det østerrikske datatilsynets beslutning

De østerrikske datatilsynet har i en avgjørelse konkludert med at bruken av Google Analytics bryter med overføringsreglene i GDPR.

Det østerrikske datatilsynet har i en nylig sak vurdert bruken av Google Analytics, og konkludert med at bruken av den aktuelle tjenesten på det konkrete nettsted som ble vurdert bryter med "Schrems II"-avgjørelsen fra EU-domstolen ("EUCJ").

Østerrike først ut 

I 2020 ugyldiggjorde EUCJ det såkalte Privacy Shield-rammeverket, som ble etablert for å muliggjøre lovlig overføring av personopplysninger fra EU til USA. Etter den såkalte Schrems II avgjørelsen kan ikke lenger europeiske virksomheter overføre personopplysninger til USA på grunnlag av Privacy Shield. Siden det ikke er noen tilstrekkelighetsbeslutning for overføringer til USA, kan overføringer finne sted "bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler." (GDPR Art. 46/1).

Etter Schrems II-avgjørelsen, sendte NOYB – European Centre for Digital Rights ("NYOB") 101 klager i tretti (30) EU/EØS-stater i forbindelse med europeiske nettsider som har fortsatt å bruke informasjonskapsler og tjenester som overfører personopplysninger til USA for behandling, til tross for EUCJs avgjørelse. De østerrikske datatilsynet er det første som avgjør en av disse klagene.

I sin beslutning fastslo myndighetene at det europeiske nettstedet det gjelder, ved å bruke Google Analytics, overførte europeiske brukeres personopplysninger til USA. Ved evaluering av standard kontraktsklausuler og tilleggstiltak iverksatt av den behandlingsansvarlige og databehandleren (inkludert bruk av kryptering og vurdering og varslingsprosesser for innsynsforespørsler fra offentlige myndigheter), konkluderte de med at kontraktsklausulene og tilleggstiltakene ikke sørget for et tilstrekkelig beskyttelsesnivå, og derfor var overføringen et brudd på GDPR.

Når det gjelder Google, mener det østerrikske tilsynet at GDPR gjelder for de europeiske enhetene som eksporterer dataene utenfor organisasjonen og ikke mottakerne i USA. NOYB vurderer om de skal klage på myndighetenes vurdering av dette i forhold til Google.

Hva vil dette si for Norge?

Det er viktig å merke seg at det østerrikske datatilsynets avgjørelse ikke har direkte juridisk virkning i Norge. For selskaper i Norge er derfor Datatilsynets offisielle uttalelse om bruk av statistikk og analyseverktøy fortsatt relevant og gyldig. 

Det norske Datatilsynet har i sin veiledning sagt at selskaper som bruker verktøy som Google Analytics må anonymisere IP-adressene som samles inn, og informere brukerne om hva informasjonen brukes til. Videre skal innsamlede data kun brukes til statistiske formål, og selskapene bør ikke samle inn mer informasjon enn det som er nødvendig for dette formålet. Vi forventer imidlertid at Datatilsynet vil følge vurderingen som det østeriske tilsynet har gjort,  og det er verdt å merke seg at de anbefaler norske selskaper å lete etter alternativer til Google Analytics.

Bekymringer om bruk av verktøy som Google Analytics blir åpenbart forsterket i lys av NOYBs klager og det østerrikske tilsynets beslutning. Vi anbefaler alle virksomheter å holde seg oppdatert med utviklingen på dette området.

Wikborg Rein har omfattende erfaring og ekspertise innen personvern og GDPR. Ta kontakt med vår partner Line Coll og partner Gry Hvidsten dersom dere har behov for bistand med overføringsregler og for andre personvernrelaterte spørsmål.

Les våre siste artikler om personvern

  • Personvern, Arbeidsrett, Teknologi og digitalisering

    2022

    Nye retningslinjer og anbefalinger for personvern på arbeidsplassen

    Datatilsynet har nylig kommet med både oppdaterte retningslinjer for varsling og en interessant rapport om overvåking og kontroll av ansattes digitale aktiviteter. Begge disse nye initiativene angår personvern på arbeidsplassen og er relevante for alle virksomheter.

  • Teknologi og digitalisering, Immaterialrett, Personvern

    2022

    1 - A Europe Fit for the Digital Age

    EU har vært en aktiv pådriver for å utvikle regelverket for teknologi og digitalisering, og det dukker stadig opp nyheter om Digital Services Act, Digital Markets Act, Artificial Intelligence Act, Data Act og Data Governance Act.

  • Personvern, Teknologi og digitalisering

    2022

    Med hjerte for personvern

    Som ny direktør i Datatilsynet ønsker personvernadvokaten Line Coll at tilsynet skal gi mer praktiske råd og oppfattes som mer relevant i næringslivet. Etter 25 år som advokat tar hun snart fatt på en helt ny del av karrieren.