Skrevet av Karoline Sundbotten
Consultant - Tracking & Analytics
August, 2023
De siste månedene har det vært mye prat om lovligheten rundt Google Analytics i Europa, og hvordan utviklingen kommer til å påvirke Norge. Flere land, inkludert Italia, Frankrike, Østerrike, Danmark, og nå Sverige, har kommet med strenge dommer mot virksomheter som benytter det populære analyseverktøyet. Men nå har EU og USA kommet frem til en ny avtale som skal gjøre det enklere å overføre data mellom EU og USA. Så hva skjer med Google Analytics nå?
Datatilsynet kom 27. juli ut med et endelig vedtak angående bruken av Google Analytics i Norge. Frem til denne nye avtalen kom på plass, anser Datatilsynet bruken av Google Analytics som ulovlig da bedrifter ved bruk av dette analyseverktøyet har overført persondata til USA, som strider med GDPR-lovgivning. Derimot har denne nye avtalen gjort det enklere for bedrifter å benytte analyseverktøyet til Google, da de er ansett som en av amerikanske bedriftene det nå er godkjent å overføre data til under Data privacy Framework.
Du kan lese hele uttalelsen på deres nettsider her.
De siste årene har EU-land sett nærmere på bruken av persondata i både markedsføring og analysesammenheng, og flere europeiske land har i den sammenheng innført en strengere lovgivning rundt bruken av Google Analytics. Dette er fordi Google er et amerikansk selskap, som under visse (dog ganske usannsynlige) omstendigheter vil måtte utlevere brukerens IP-adresse til amerikanske sikkerhetsmyndigheter om dette forespørres. Dette gjelder da også brukere i EU og EØS som benytter en nettside som spores ved bruk av Google Analytics, da brukernes IP-adresser sendes til Googles servere for å identifisere din lokasjon, for så å slettes. Selv om Google selv sier at informasjonen ikke lagres noe sted, er denne prosessen nok til at flere land har tatt grep og innført strenge restriksjoner ved bruk av Google Analytics for å beskytte sine innbyggere.
Den nye avtalen mellom EU og USA heter Data Privacy Framework, og er et rammeverk som benyttes for å godkjenne spesifikke amerikanske selskaper som oppfyller en rekke krav og i spesifikke tilfeller har behov for å overføre data mellom EU og USA.
I skrivende stund er det 2490 bedrifter som er oppgitt på den offisielle listen av godkjente bedrifter for overføring av persondata, inkludert både Google og Meta (morselskapet til Facebook og Instagram). Dette betyr at personopplysninger kan overføres til Google på lik linje med europeiske virksomheter, så lenge det foreligger et behandlingsgrunnlag eller en databehandleravtale for deling av personopplysninger. Det norske Datatilsynet annonserte disse nye reglene 10. juli da EU og USA kom til enighet om denne avtalen. Du kan lese pressemeldingen på Datatilsynets nettsider.
Datatilsynet har nå offentlig kommentert lovligheten rundt bruken av Google Analytics i henhold til GDPR i Norge. Analyseprogrammet er nå å anse som lovlig, så lenge det benyttes korrekt med hensyn til brukerens personvern og personvernspreferanser. Den nye avtalen adresserer mange av de tidligere problemstillingene som har blitt adressert i henhold til overføring av persondata til USA. Om man derimot er usikker på om og hvordan analyseverktøy skal benyttes, har Datatilsynet også laget en hjelpsom guide som tar for seg de viktigste stegene i denne prosessen, og hva man må huske å ta spesielt hensyn til. Du finner guiden her.
Det er viktig å bemerke seg at dette nye rammeverket kan komme til å bli utfordret i EU-domstolen, da en lignende avtale ble forsøkt innført i 2020. Den gang anså EU-domstolen beskyttelsesnivået av persondata som for lav, og det er en mulighet for at dette kan skje igjen. Isåfall vil det igjen være svært vanskelig å overføre persondata til USA og amerikanske selskaper. Det er imidlertid ikke kjent når dette eventuelt vil adresseres av domstolen, eller hvilke bekymringer som vil adresseres i henhold til denne nye avtalen.