Datatilsynet: – Google Analytics har vært ulovlig frem til nå

Tidligere i år varslet Datatilsynet at Google Analytics høyst sannsynlig var ulovlig å bruke, men nå melder de også at dette langt på vei er løst. Lær mer om dette og andre spennende saker i ukens Bits & Bytes.

– Bruken av Google Analytics var ulovlig.

Det sier Datatilsynet nå på sine nettsider, i et nylig vedtak. 

Google Analytics (GA) er en tjeneste utviklet av Google, som selskaper og organisasjoner kan bruke til å måle trafikken på en nettside. Det er et verktøy som setter virksomhetene i stand til å gjennomføre analyse og innhente innsikt i hvordan besøkende samhandler med nettsidene deres.

Datatilsynet har nå gjennom flere måneder undersøkt hvorvidt GA sin overføring av personopplysninger ut av EØS bryter med personvernforordningen (GDPR), som er en del av norsk lov under personopplysningsloven. 

Også virksomheters bruk av GA ville dermed være ulovlig, ettersom de som besøker nettsidene deres vil kunne få personopplysningene sine overført ut av EØS i konflikt med loven. GA er allerede blitt vurdert som ulovlig i flere andre europeiske land.

Personvernforeningen Noyb har også klaget inn en rekke nettsider for brudd på GDPR gjennom sin bruk av GA, deriblant Telenor.com. 

Nå har altså Datatilsynet konkludert med at GA-bruken så langt har vært lovstridig, men samtidig at problemet langt på vei også er løst:

– Det som var problematisk i denne saken, var overføring av personopplysninger til USA. Frem til nå har dette vært vanskelig å få til lovlig, og dette er bakgrunnen for vedtaket vårt.

– I juli kom det imidlertid nye regler om overføring av personopplysninger til USA. Man kan nå overføre personopplysninger til amerikanske virksomheter som er sertifisert under de nye reglene. Google er blant disse virksomhetene.

Dermed kan norske bedrifter puste lettet ut, og stadig benytte Google Analytics for å forbedre sine tjenester og nettsider. 

Har vært stor usikkerhet i bransjen

Det så imidlertid lenge ut til at dette ikke ville være så enkelt.

Finansavisen stilte i mars det betimelige spørsmålet rett ut: – Er Google Analytics ulovlig å bruke i Norge nå? 

I saken påpekte avisen at GA samler inn nok data om brukerne til at de vil regnes som personopplysninger, og da slår et meget strengt regelverk inn. Viktigst av alt var altså begrensningen om at data ikke kan videreføres ut av EØS-sonen, noe som ble bestemt etter en dom i EU-domstolen i juli 2020 (den såkalte Schrems II-dommen).

Og alle data som samles i GA går innom amerikanske servere. Etter avgjørelsen påla blant annet Østerrike, Italia og Frankrike virksomheter i sine land å slutte å bruke GA, for ikke å gå på akkord med GDPR-regelverket.

Etter klagesaken i mars var det derfor stor usikkerhet blant norske bedrifter – kunne de fortsette å benytte GA, eller måtte de finne alternativer? Mange offentlige instanser hadde allerede byttet eller satte i gang med å bytte nettopp av personvernhensyn. NAV faset eksempelvis ut Google Analytics allerede i oktober 2022.

Gjelder også andre tjenester og verktøy – og av potensielt andre grunner

Men så skal man heller ikke gå rundt og tro at dette bare gjelder for Google Analytics. Selv om vedtaket i praksis renvasker GA, ettersom Google nå står på listen over godkjente selskap, er det mange andre tjenester som også sender data ut av EØS og dermed er ulovlige og i strid med GDPR.

I praksis må tjenester som innhenter persondata enten ha avtaler med godkjente selskap der dataene sendes, eller benytte lagring innad i EØS.

Det er også andre grunner til at innhenting av persondata kan være ulovlig. Eksempelvis har Datatilsynet nå lagt ned et midlertidig forbud mot bruk adferdsbasert markedsføring på Facebook og Instagram, begge eid av Meta. 

Dette skjer etter en nylig dom i EU-domstolen som slår fast at slik denne markedsføringen foregår er den i praksis ulovlig – nettopp fordi den strider mot GDPR-regelverket.

Lyst til å dykke enda mer ned i materien? Her er noen flere godbiter fra personopplysnings-bobla de siste ukene:

(Artikkelen fortsetter nedenfor).

Bli litt klokere på GDPR – på kun 30 minutter:

Introkurs

Personvern og innovasjon

Lær hvordan du lykkes med GDPR og behandlingsgrunnlag i innovasjonsprosjekter – på 30 minutter.

306 Moduler0% Fullført

KI brukes til stadig flere medisinske formål:

«Hallusinasjoner» i KI-baserte språkmodeller er en utfordring:

Meta lanserer AudioCraft, et musikkverktøy basert på KI og åpen kildekode:

KI-modeller trenger dine data for å fungere:

Kryptografi kan løse et stort problem:

Lurer du på hvordan KI påvirker jobbmarkedet? Les mer her:

Også i politikken har KI store nedslagsfelt:

Twitters fremtid formes av sjefens fortid:

Nintendo har ny konsoll på gang:

Folk skanner øynene sine inn i blokkjeden:

Kina har et hat/elsk-forhold til teknologiselskapene sine:

Vil standardisere 3D-innhold:

Windows-skrivebordet kan bli skybasert:

Tar grep for å hindre sporing uten samtykke:

Apple saksøkes for ti milliarder kroner:

Russisk gruppe forsøker å stjele innloggingsinfo:

Gjennombrudd innen høyteknologiske materialer:

Europa lyktes med nytt romteleskop til mange titalls milliarder kroner:

Få litt faglig påfyll etter ferien – med et gratis kurs:

Service

Digitale kurs

Trenger du eller dine ansatte kompetanseheving på teknologi, innovasjon og digitale verktøy? Kursene er helt gratis og utviklet i samarbeid med noen av de tyngste fagmiljøene i norsk næringsliv og akademia.