ThommessenFlow Finn folk
Fagstoff

Kan bruk av Google Analytics være ulovlig?

Getty Images 1145315541

Kort tid etter at Schrems II-avgjørelsen ble avsagt av EU-domstolen, besluttet den ideelle organisasjonen noyb å klage inn 101 selskaper for deres bruk av Google Analytics og lignende verktøy for statistikk og analyse av nettsider. noyb mener at personopplysninger overføres til USA i forbindelse med bruk av Google Analytics, og at denne overføringen er i strid med kravene fastsatt i Schrems II-avgjørelsen.

Det første europeiske datatilsynet til å ferdigbehandle en klage fra noyb er det østerrikske datatilsynet ("Datenschutzbehörde" eller "DSB"). DSB har gitt noyb medhold i klagen.

DSBs avgjørelse, som altså er den første i en rekke av lignende klager som behandles av europeiske datatilsyn, kan vanskeliggjøre selskapers bruk av Google Analytics. I et større perspektiv er noybs klagekampanje en påminnelse om at individer, ideelle organisasjoner og datatilsyn vil håndheve selskapers etterlevelse av overføringskravene fastsatt i Schrems II-avgjørelsen.

Du kan lese mer om Schrems II-avgjørelsen i faktarammen nederst i denne artikkelen.

Om noyb

noyb er en ideell organisasjon som Max Schrems var med på å grunnlegge. noyb søker å håndheve europeiske borgeres personvernrettigheter gjennom strategiske søksmål og klager (såkalte "model cases"). Dette kan de gjøre på grunnlag av personvernforordningen artikkel 80, som uttrykkelig fastslår at individer (dvs. "registrerte") kan gi ideelle organisasjoner mv. fullmakt til å håndheve individenes rettigheter etter personvernforordningen.

Ikke overraskende har noyb det siste halvannet året fokusert på å få europeiske og amerikanske selskaper til å innrette seg etter kravene fastsatt i Schrems II-avgjørelsen. noyb har i denne forbindelse uttalt at deres klager mot i alt 101 selskapers bruk av Google Analytics mv. kun er begynnelsen. Det er derfor grunn til å tro at noyb vil gjennomføre ytterligere "klagekampanjer", og at norske selskaper også i fremtiden vil være på listen over innklagede aktører.

DSBs avgjørelse

Bakgrunnen for saken var at en person hadde besøkt en nettside levert av et østerriksk selskap (som er anonymisert i avgjørelsen). Selskapet benyttet Google Analytics til å måle trafikk på nettsiden, samt analysere hvordan nettsiden ble brukt. I forbindelse med selskapets bruk av Google Analytics ble blant annet sluttbrukerens IP-adresse, unike online identifikatorer (generert gjennom informasjonskapsler) og aktivitet på nettsiden samlet inn, og overført til Google LLCs servere i USA.

Sluttbrukeren, som altså ble representert av noyb, mente at denne overføringen av data til USA var i strid med overføringskravene i personvernforordningen kapittel V. Sluttbrukeren klaget derfor inn både det østerrikske selskapet (behandlingsansvarlig og dataeksportør) og Google (databehandler og dataimportør) til DSB.

Google fremholdt at de ovennevnte overføringskravene ikke gjelder for dataimportører, og at Google derfor ikke kunne holdes ansvarlig for eventuelle brudd på disse. Google argumenterte videre for at det ikke var mulig å identifisere sluttbrukeren basert på opplysningene Google mottok, og at opplysningene derfor ikke utgjorde personopplysninger etter forordningen. For det tilfellet at DSB skulle komme til at personopplysninger blir overført til USA i forbindelse med bruken av Google Analytics, mente Google at denne overføringen ble utført basert på Standard Contractual Clauses ("SCC-er") vedtatt av EU-kommisjonen. Google mente videre at det er lite sannsynlig at en sluttbruker vil få sine personopplysninger utlevert til amerikanske etterretningsmyndigheter. En risikobasert tilnærming burde derfor lede DSB til å konkludere med at Google har iverksatt tilstrekkelig tilleggstiltak for å ivareta personvernet til de overførte personopplysningene.

Det sentrale spørsmålet i saken var om personopplysninger blir behandlet i forbindelse med bruk av Google Analytics. Basert på vår forståelse av DSBs avgjørelse, tar ikke DSB uttrykkelig stilling til om de unike online identifikatorene og IP-adresser hver for seg utgjør personopplysninger. DSB viser i stedet til at kombinasjonen av disse datapunktene, samt det faktum at Google kunne knytte datapunktene til sluttbrukerens Google-konto, medførte at opplysningene utgjorde personopplysninger.

DSB viste videre til at Google er en "electronic communications service provider" etter Foreign Intelligence Surveillance Act Section 702 ("FISA 702"), og derfor omfattes av denne etterretningsloven. Som nærmere beskrevet i faktarammen nedenfor, innebærer dette i utgangspunktet at overføringen av personopplysninger kun er tillatt dersom partene iverksetter tiltak som forhindrer etterretningsmyndighetene fra å få innsyn i personopplysningene. Etter DSBs vurdering hadde ikke Google iverksatt slike tiltak.

DSB konkluderte derfor med at overføringen av personopplysninger til USA var i strid med personvernforordningen kapittel V. DSB var imidlertid enig med Google i at det er den østerrikske dataeksportøren, og ikke Google, som er ansvarlig for å etterleve disse overføringskravene. Det blir interessant å se om de andre datatilsynene som har mottatt klager fra noyb er av samme vurdering. Det blir også interessant å se om disse datatilsynene vil bøtelegge dataeksportørene eller Google. Foreløpig er det uklart om DSB vil bøtelegge den østerrikske dataeksportøren, noe noyb har reagert på.

Aksjonspunkter

Fra et teoretisk perspektiv har en avgjørelse fra et utenlandsk datatilsyn begrenset rettskildemessig vekt. Datatilsynet har imidlertid uttalt seg om DSBs avgjørelse til digi.no, og antydet at de er enige med DSBs vurderinger. I tillegg kritiserte European Data Protection Supervisor (det vil si datatilsynet for EU-organene) nylig EU-parlamentet for å benytte Google Analytics på en intern nettside.

Som et første aksjonspunkt anbefaler vi derfor at alle aktører som benytter Google Analytics sørger for å aktivere anonymiseringsfunksjonen i Google Analytics. Denne funksjonen anonymiserer IP-adressene som samles inn og overføres til Google, og hadde ikke blitt aktivert av den østerrikske dataeksportøren.

Deretter bør det vurderes om Google har mulighet til å identifisere sluttbrukerne, til tross for at IP-adressene som samles inn anonymiseres. Dette kan eksempelvis være tilfellet dersom Google har mulighet til å identifisere enkeltpersoner ved å knytte online identifikatorene opp mot sluttbrukernes Google-konto. Det norske Datatilsynet har tidligere ment at anonymisering av IP-adresser vil være et tilstrekkelig grep for å kunne benytte Google Analytics. Basert på Datatilsynets uttalelser til digi.no, er det mye som tyder på at Datatilsynet har endret oppfatning, og at de i ytterste konsekvens vil fraråde norske virksomheter fra å benytte Google Analytics.

Fra et større perspektiv viser klagekampanjen mot Google at Schrems II-avgjørelsen ikke er et blaff, selv om det kan være vanskelig å etterleve de skjerpede overføringskravene. Virksomheter som fortsatt ikke har begynt arbeidet med å sørge for at de etterlever de skjerpede overføringskravene, bør derfor begynne med dette.

Om Schrems II-avgjørelsen

I Schrems II ble EU-domstolen forelagt spørsmål om selskaper kan overføre personopplysninger til USA på grunnlag av Privacy Shield-rammeverket eller SCC-er. SCC-ene er standardiserte overføringsavtaler vedtatt av EU-kommisjonen.

EU-domstolen besluttet å ugyldiggjøre Privacy Shield-rammeverket. EU-domstolen kom derimot frem til at SCC-er fortsatt er et gyldig overføringsgrunnlag. Selskaper som benytter SCC-er til å overføre personopplysninger til land utenfor EU/EØS må imidlertid sørge for at personverngarantiene i disse overføringsavtalene ikke blir undergravd av destinasjonslandets lover og myndighetspraksis. Dersom dette er tilfellet må dataeksportøren enten avstå fra overføringen, eller iverksette tiltak som sørger for at personvernet "gjenopprettes".

EU-domstolen kom i denne forbindelse frem til at FISA 702 gir amerikanske etterretningsmyndigheter en uforholdsmessig vid adgang til å kreve innsyn i europeiske borgeres personopplysninger, og derfor undergraver personvernet. Selskaper bør derfor i utgangspunktet ikke overføre personopplysninger til amerikanske selskaper som er underlagt FISA 702 (det vil si "electronic communications service providers"), med mindre det treffes tiltak som forhindrer amerikanske etterretningsmyndigheter fra å få innsyn i personopplysningene som den amerikanske dataimportøren behandler.

Kontaktpersoner