Det finnes en mulig løsning for Google Analytics-brukerne
Er du fortvilet over at jusen ikke passer inn i den tekniske virkeligheten?
Du er ikke alene. Frustrasjonen har fått utløp i DNs spalter ved at tre advokater i advokatfirmaet Wiersholm har tatt til orde for at «betydningen av tilsynsmyndigheters avgjørelser overdrives», mens Datatilsynet på sin side svarer med at Wiersholm har «en strutsebasert tilnærming til personvern», og: «Det følger av GDPR at Datatilsynet er uavhengig. Det betyr at vi baserer oss på loven, ikke ønskene til en part. Her skiller vi oss fra Wiersholm».
Wiersholm har igjen svart på kritikken fra Datatilsynet ved å vise til at «Personvernet fortjener en saklig debatt».
Det finnes imidlertid en løsning. Så lenge brukerne er tilstrekkelig informert og samtykker til det, kan nettsider fortsatt bruke Google Analytics.
Adgangen til å benytte samtykke som grunnlag for å overføre personopplysninger til land som USA, hvor myndighetenes etterretningsadgang krenker brukernes personvern, er snever. Både fordi det stilles en rekke krav til samtykket for at det skal være gyldig, men også fordi samtykke som overføringsgrunnlag er et unntak fra lovens hovedregel.
Samtykke vil for eksempel ikke være gyldig overføringsgrunnlag dersom:
- Samtykket er en forutsetning for å få lov til å bruke tjenesten.
- Brukeren ikke får mulighet til å takke nei.
- Samtykket skjer ved forhåndsavkrysning eller passivitet.
- Om det er umulig for brukeren å trekke samtykket tilbake.
For virksomheter som er avhengig av å kontinuerlig overføre personopplysningene til for eksempel USA for å levere en tjeneste, vil det være krevende å sikre gyldige samtykker.
Ofte har adgangen til å benytte samtykke som grunnlag for å overføre opplysningene til «utrygge land» utenfor Europa blitt tolket slik at samtykke kun kan benyttes som grunnlag for overføringen der ingen andre overføringsgrunnlag er anvendelige. EU-domstolens uttalelser i Schrems II-dommen tyder imidlertid på at det ikke er en slik begrensning.
Mye tyder også på at GDPR heller ikke stiller noe krav om at overføringen kun kan skje «leilighetsvis», slik enkelte av de andre unntaksreglene i GDPR artikkel 49 krever.
Den registrerte kan med andre ord si fra seg personvernet så lenge vedkommende er tilstrekkelig informert.
Når informasjonsteksten skal formuleres, må derfor nettsideeieren ha tungen rett i munnen.
Det østerrikske datatilsynet kom til at Google Analytics var ulovlig i kjølvannet av EU-domstolens Schrems II-avgjørelse fra 16. juli 2020. I mitt innlegg av 18. januar stilte jeg spørsmålet om avgjørelsen betydde «Kroken på døren for Google Analytics i Europa»?
Svaret er «nei» slik jeg vurderer det – så lenge nettsideeieren klarer og tør være åpen nok.
Artikkelen ble første gang publisert i Dagens Næringsliv 3. mars 2022.
Relaterte artikler
Tror du IT-leverandøren din vil redde deg? Tro igjen
Når ansvarsbegrensninger i avtaler står sterkt, kan selv alvorlige datainnbrudd ende med små erstatninger. Dette er l...
Les merKristian Foss bidrar til ny internasjonal rapport om trygg og inkluderende digital identitet
Kristian Foss, partner i Bull, har bidratt til den norske delen av en ny rapport som tar for seg kritiske bruksområde...
Les merEn ny æra av cybersikkerhet i Europa
EU har vedtatt NIS 2-direktivet, som trer i kraft for medlemslandene fra 18. oktober 2024. Formålet er å styrke cyber...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.