Nyheder

FAQ: Google Analytics erklæret ulovlig

Det populære værktøj til webstatistik, Google Analytics, kan ikke anvendes lovligt uden videre. Sådan lød en udtalelse, som for nyligt blev offentliggjort af Datatilsynet. Men hvordan skal din virksomhed agere nu? Vi har samlet de mest forekommende spørgsmål i denne ”FAQ”.

Budskabet fra Datatilsynet er, at en lovlig brug af værktøjet forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, som Google stiller til rådighed.

Udtalelsen skaber stor tvivl om, hvordan Google Analytics nu kan bruges – og om Google Analytics overhovedet kan bruges. Særligt fordi reglerne om GDPR og cookies kan være komplekse at overholde.

Q: Hvorfor er Google Analytics ulovligt?

A: Når Google Analytics anvendes, bliver der overført personoplysninger til lande uden for EU/EØS (tredjeland) – herunder USA - som betragtes som et såkaldt usikkert tredjeland.

Hvorfor er det et problem? Siden Schrems II-afgørelsen har det været vanskeligt at overføre personoplysninger til tredjelande på lovlig vis. Dette skyldes, at reglerne om beskyttelse af personoplysninger i USA ikke giver det samme beskyttelsesniveau som det, vi har i EU.

Hvis man som dataansvarlig overfører personoplysninger til et tredjeland, skal det sikres, at de såkaldte fire essentielle europæiske garantier er overholdt i det pågældende tredjeland. Det indebærer f.eks. en vurdering af, om der findes effektive retsmidler i tredjelandet.

I Schrems II-afgørelsen blev det fastlagt, at disse garantier ikke overholdes i USA. Hvis de fire essentielle garantier ikke er overholdt, og beskyttelsesniveauet derved ikke er tilstrækkeligt, kan man dog gennem effektive supplerende foranstaltninger alligevel sikre overholdelse af disse garantier.

Google har iværksat en række supplerende foranstaltninger i et forsøg på at gøre statistikværktøjet sikkert. En række tilsynsmyndigheder i EU har imidlertid vurderet, at foranstaltningerne ikke er effektive.

Det betyder, at de standardindstillinger, som Google stiller til rådighed, ikke er tilstrækkelige. Den eneste måde at lovliggøre brugen på er derfor selv at iværksætte effektive supplerende foranstaltninger.

Den franske tilsynsmyndighed har på sin hjemmeside offentliggjort en guide til implementering af en såkaldt reverse proxy-løsning. Løsningen er på nuværende tidspunkt det eneste eksempel på en effektiv supplerende foranstaltning.

Q: Hvorfor er der tale om personoplysninger, når man ikke kan identificere den enkelte person ud fra oplysningerne i Google Analytics - Google kan jo ikke se, hvem der sidder ved computeren?

A: Google anvender cookies for at identificere en bruger. Når der placeres en cookie på den besøgendes enhed, tildeles den besøgende en såkaldt online identifikator, som gør det muligt at adskille brugeren fra andre brugere. Dette omfatter også, at det kan registreres, om brugeren er førstegangsbesøgende eller en tilbagevendende besøgende på hjemmesiden. Der indsamles også yderligere oplysninger om den besøgendes interaktion med hjemmesiden, f.eks. tidspunkt for besøg, oplysninger om browser, IP-adresse, hvor den besøgende omtrentligt befinder sig, mv.

Disse identifikatorer – navnlig kombineret med hinanden – falder inden for definitionen af personoplysninger efter GDPR. Det er ikke et krav, at man skal kende til den besøgendes navn, adresse osv., før der er tale om personoplysninger.

Q: Vi har et cookiebanner på hjemmesiden, hvor de besøgende kan acceptere statistik-cookies og betingelserne for at være på siden. Er det så stadig en udfordring at bruge Google Analytics?

A: Ja, det er fortsat en udfordring, og cookie-banneret gør det ikke lovligt at bruge Google Analytics.

Cookie-banneret skal håndtere, at brugeren giver samtykke til, at hjemmesiden må sætte en cookie og tilgå information heri. Brugen af de personoplysninger, der indsamles via cookies, skal fortsat ske efter reglerne i GDPR. Efter Datatilsynets vejledninger kan et samtykke ikke bruges som overførselsgrundlag for overførsel af personoplysninger til USA (og andre såkaldte tredjelande), når der er tale om en fast og systematisk overførsel (generel overførsel).

Cookie-banneret kan derfor ikke bruges til at indsamle brugerens lovlige samtykke til overførsel af oplysninger til USA.

Q: Er der forskel på, om vi har B2C eller B2B kunder på vores hjemmeside?

A: Nej. De oplysninger, som indsamles via cookies – og som Google behandler – vedrører de fysiske personer, som besøger hjemmesiden. Det er den enkelte bruger, der tildeles en onlineidentifikator – ikke virksomheden, som den pågældende arbejder i. Selvom virksomhedens hjemmeside henvender sig til B2B kunder, vil der altså fortsat behandles personoplysninger om fysiske personer.

Q: Kan vi forvente, at Google selv kommer med en løsning?

A: Det er svært at svare på. Det er dog tvivlsomt, at en løsning fra Google på nuværende tidspunkt kan leve op til kravene i GDPR vedrørende tredjelandsoverførsler. Dette skyldes, at kravene er meget komplicerede at overholde i praksis.

Q: Må vi beholde de data, der allerede ligger i Google Analytics, efter vi har fjernet det på vores hjemmeside?

A: De oplysninger, der allerede ligger i Google Analytics, bliver løbende behandlet i GDPR’s forstand. Da behandlingen ikke lovligt kan ske i USA, skal personoplysningerne slettes eller anonymiseres effektivt.

Q: Datatilsynet siger, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger. Hvor lang tid har man til at lave sådan en plan?

A: Der er ikke nogen fastsat tidsramme for udarbejdelse af en sådan plan. Det er dog klart, at det er noget, der skal ske snarest muligt. Datatilsynet oplyser, at de almindeligvis ikke opererer med henstandsperioder for at lovliggøre eventuelle ulovlige behandlingsaktiviteter ­­­­– tværtimod.

Det skyldes, at Datatilsynet skal vurdere en sag om en konkret behandling af personoplysninger på baggrund af de allerede gældende regler (GDPR), som man er forpligtet til at overholde og påvise, at man overholder. Ved Datatilsynets vurdering af en konkret sag vil det dog indgå, i hvilket omfang virksomheden aktivt har taget skridt til at bringe sine behandlingsaktiviteter i overensstemmelse med reglerne. Det er ikke et aktivt skridt at lave en papirplan, som ikke gennemføres via umiddelbart mulige handlinger. Det vil her indgå, at det er let at standse brugen af Google Analytics.

Q: Kan planen for at lovliggøre brugen af Google Analytics gå ud på, at “Vi dropper Google Analytics pr. 31. december 2022, hvis udfordringerne ikke er løst fra Googles side?”

A: Nej, det kan ikke forventes at være en acceptabel plan, hvis man bliver genstand for en sag ved Datatilsynet.

Q: Findes der nogle skabeloner, som man kan benytte sig af ift. dokumentering af overvejelser for en plan?

A: Nej, der findes ingen offentliggjorte skabeloner til dette på nuværende tidspunkt. En plan bør inkludere og tage højde for, at der p.t. formentlig kun er reverse proxy-løsningen som den eneste tekniske supplerende sikkerhedsforanstaltning, og at hvis den ikke implementeres, vil en brug af Google Analytics være i strid med GDPR.

Q: Kan vi bare slå koldt vand i blodet og afvente, at der kommer en juridisk løsning lige om lidt?

A: Nej, ikke i forhold til at det p.t. ikke er lovligt at bruge Google Analytics uden implementering af en række supplerende foranstaltninger ud over de indstillinger, som Google stiller til rådighed.

Datatilsynets udtalelse fastslår, at hvis ikke man får lovliggjort sin brug af Google Analytics, skal man ophøre med brugen. Fortsætter man blot brugen som hidtil, risikerer man at blive idømt en bøde og meddelt forbud mod en fortsat brug af Google Analytics. Det er herudover uvist, hvornår der kommer en løsning på problemstillingen omkring overførsel af personoplysninger til USA. Der er håb for, at der kommer en løsning til foråret 2023, men det kan meget vel trække ud.

Det bør derfor overvejes at undersøge markedet for en alternativ leverandør, som udelukkende behandler personoplysninger inden for EU.

Kontakt DAHL

Har du spørgsmål til artiklen, håndtering af cookies eller til behandling af personoplysninger generelt, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne