Datatilsynet har set nærmere på værktøjet Google Analytics, dets indstillinger og de vilkår, værktøjet leveres under. På baggrund af denne gennemgang konkluderer Datatilsynet, at værktøjet ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.

- Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger, siger Makar Juhl Holst, chefkonsulent i Datatilsynet, og uddyber:

- Siden vores europæiske kollegaers afgørelser har vi set nærmere på værktøjet og de konkrete indstillinger, man kan gøre brug af, hvis man gerne vil bruge Google Analytics. Det har været særligt relevant, da Google i kølvandet på den første afgørelse fra Østrig er begyndt at stille yderligere indstillinger til rådighed i forhold til, hvilke oplysninger der kan indsamles via værktøjet. Men konklusionen er dog stadig, at værktøjet ikke uden videre kan bruges lovligt.

Konsekvenser for danske organisationer

At sagerne er udtryk for en fælleseuropæisk holdning blandt tilsynsmyndighederne, betyder bl.a. også, at Datatilsynet i en konkret sag med lignende omstændigheder vil nå frem til samme resultat som vores europæiske kollegaer.

Organisationer i Danmark, der benytter Google Analytics, skal derfor vurdere, om deres eventuelle fortsatte brug af værktøjet sker inden for rammerne af databeskyttelsesreglerne. Hvis det ikke er tilfældet, har organisationen pligt til enten at lovliggøre sin brug af værktøjet eller om nødvendigt ophøre med at benytte værktøjet.

- En meget vigtig opgave for Datatilsynet er at vejlede borgere om deres rettigheder og vejlede danske organisationer i, hvordan de overholder databeskyttelsesreglerne. Som det er tilfældet med databeskyttelsesreglerne, er vi i Datatilsynet teknologineutrale, og vi har derfor ingen interesse i hverken at blåstemple eller forbyde visse produkter. Det har vi slet ikke beføjelser til, supplerer Makar Juhl Holst og fortsætter:

- I kølvandet på vores europæiske kollegaers afgørelser har vi dog oplevet en stor efterspørgsel på konkret vejledning i forhold til lige præcis Google Analytics, og vi har derfor brugt kræfter på at undersøge dette specifikke værktøj nærmere.

Hvad skal man så gøre, hvis man bruger Google Analytics i dag?

Datatilsynet har forståelse for, at mange organisationer allerede bruger Google Analytics, og at der tidligere har været en lettilgængelig mulighed for at overføre oplysninger til USA i form af en såkaldt tilstrækkelighedsafgørelse fra EU-Kommissionen. EU-Domstolen erklærede dog denne kommissionsafgørelse for ugyldig i juli 2020.

Derfor er budskabet fra Datatilsynet, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.

En mulig teknisk foranstaltning, der kan være relevant ved brug af Google Analytics, er pseudonymisering. Den franske datatilsynsmyndighed har udarbejdet nærmere vejledning til organisationer, der ønsker at etablere en effektiv pseudonymisering ved hjælp af en såkaldt reverse proxy. Vejledningen kan findes her.

Hvis det ikke er muligt at træffe effektive supplerende foranstaltninger, skal man holde op med at bruge værktøjet og eventuelt finde et andet værktøj, der kan levere webstatistik, og som giver mulighed for at overholde databeskyttelsesreglerne, fx ved ikke at overføre oplysninger om de besøgende til usikre tredjelande.