Bruger din virksomhed Google Analytics og andre lignende tjenester? – så har du måske et persondata-problem
Rigtig mange virksomheder og offentlige myndigheder anvender Google Analytics eller lignende tjenester på deres hjemmeside. Formålet med tjenesterne er, ved hjælp af cookies, at indsamle data om brugeren af hjemmesiden. Tjenesterne er smarte og ofte meget relevante. Desværre er de færreste dog klar over, at tjenesterne ofte indsamler persondata- og måske videresælger disse data.
Alle gør det, så hvad er problemet?
Indsamling af data via cookies er meget udbredt. Tjenesterne indsamler oplysninger om de besøgenes brug af en hjemmeside via en cookie. Disse oplysninger deles med ejeren af hjemmesiden. Nogen indsamler med et kendt og accepteret formål, f.eks. kun at give ejeren af hjemmesiden statistik om brugen heraf. Det er der som udgangspunkt ikke noget galt med.
Problemet opstår, når de cookies der anvendes også indsamler personoplysninger. Det kan f.eks. være IP-adressen på brugeren af hjemmesiden, men det kan også være andre typer persondata – det afhænger af tjenesten.
En del persondata indsamles til tjenesternes egne formål, f.eks. for at lave en database over brugeradfærd. Sådanne oplysninger kan herefter videresælges til reklameformål.
Det er kun lovligt at indsamle og dele persondata, hvis persondatareguleringen overholdes. Problemet er, at det gør den sjældent – oftest fordi de færreste er klar over at indsamling og videregivelsen sker.
Jeg overholder jo cookie-reglerne, så hvad er problemet?
Overholdelse af cookie-reglerne giver ikke ret til at dele persondata.
Indsamling, brug og videregivelse af persondata, uanset om den er indsamlet med en cookie, reguleres derimod af persondataloven – og i fremtiden databeskyttelsesforordningen.
Disse regler skal derfor overholdes, når persondata indsamles, behandles og videregives.
Kan jeg ikke bare indgå en databehandleraftale?
Jo – nogle gange. Brugen af en databehandleraftale forudsætter dog, at analysetjenesten kun bruger persondata til din virksomheds formål; tjenesten må altså ikke bruge oplysningerne selv til egne formål.
Databehandleraftalen kan derfor kun bruges, hvis personoplysningerne indsamles på vegne af din virksomhed og ikke videregives til andre. Databehandleraftalen kan ikke bruges, hvis tjenesten selv skal anvende de modtagne persondata. Databehandleraftalen giver heller ikke mulighed for, at tjenesten kan videregive data til andre, f.eks. analysetjenestens andre kunder.
Hvad er løsningen, hvis jeg ikke kan indgå en databehandleraftale?
Nogle tjenester – f.eks. Google Analytics - kan sættes op til at indsamle oplysningerne anonymt. I så fald indsamles ingen persondata og persondatareguleringen skal ikke overholdes. Hvis det er praktisk muligt, er det den anbefalede fremgangsmåde.
Hvis data bruges af analysetjenesten selv – eller ligefrem deles med tjenestens andre kunder – skal den hjemmeside-besøgende gøres opmærksom herpå, og et samtykke fra hver enkelt besøgende vil oftest være nødvendigt. Et samtykke skal overholde en lang række krav, og den besøgende skal blandt andet oplyses om hvem oplysningerne konkret videregives til. Denne løsning vil oftest være svær at anvende i praksis.
Kan jeg ikke bare være ligeglad?
Nej det kan du ikke. Selv hvis vi ser bort fra det kommercielle forhold til ens kunder, er manglende overholdelse af persondatareglerne bødebelagt. I fremtiden vil der kunne gives bøder på op til 20.000.000 eller 4% af virksomhedens globale omsætning, hvis persondatareglerne ikke overholdes.