Brugen af Google Analytics er erklæret ulovlig af både det østrigske og franske datatilsyn. Og det forventes at resten af EU går samme vej. Det kunne betyde dødsstødet til Google Analytics. Men der er heldigvis løsninger, som kan hjælpe danske virksomheder videre.
Tilmeld dig webinaret Har du styr på dine tredjelandsoverførsler og Transfer Impact
En afgørelse fra det østrigske datatilsyn – og nu også en afgørelse fra det franske datatilsyn - fastlægger, at brug af onlineværktøjet Google Analytics er problematisk ifølge GDPR, da overførslerne er i strid med databeskyttelsesforordningens artikel 44. Dermed vanskeliggøres grundlaget for anvendelse af dagens digitale markedsføring, hvor online-brugernes aktiviteter kortlægges.
Overførsel af personoplysninger til USA fra Google Analytics er nemlig ikke sikret tilstrækkeligt mod muligheden for overvågning af og adgang til de overførte oplysninger fra amerikanske retshåndhævende myndigheder.
Lovliggørelse af disse overførsler kræver omfattende dokumentation og sikkerhedsforanstaltninger. Man skal nemlig kunne dokumentere et tilstrækkeligt højt beskyttelsesniveau for de overførte oplysninger, der i det væsentlige svarer til beskyttelsesniveauet i EU.
For at sikre et beskyttelsesniveau af personoplysninger, der overføres til et usikkert tredjeland, der i det væsentlige svarer til beskyttelsesniveauet i EU, skal databehandleraftaler både inkludere standardkontraktklausuler for tredjelandsoverførsler (SCC), og der skal foretages en såkaldt Transfer Impact Assessments (TIA).
Tilmeld dig webinaret Har du styr på dine tredjelandsoverførsler og Transfer Impact
Og det bliver ikke nemmere – eller billigere
Danske virksomheder bør tage denne problemstilling alvorligt allerede nu. De nye afgørelse er nemlig blot de første af 101 sager anlagt af privacy-aktivistgruppen ”None of Your Business” om overførsler til USA. Sagerne kan have store konsekvenser for virksomheder i EU.
De endelige konsekvenser for danske virksomheder vil dog først ligge klart, når det danske datatilsyn kommer med sin udmelding.
Men en ting er sikker. Al overførsel af persondata til tredjelande bliver mere kompliceret og giver dermed ekstra omkostninger for virksomheder i EU.
Kort om Schrems II og TIA
I Schrems II-dommen afgjorde EU-Domstolen, at dataeksportøren ved brug af standardkontraktbestemmelser (og andre overførselsgrundlag i GPDR, artikel 46) skal vurdere, om lovgivning og praksis i modtagerlandet hindrer, at den registreredes rettigheder sikres et niveau af databeskyttelse, der i det væsentligste svarer til det niveau, som er sikret inden for EU.
Dertil skal standardkontraktbestemmelser suppleres med en Transfer Impact Assessments (TIA), som er en detaljeret vurdering af betydningen af modtagerlandets lovgivning og myndighedspraksis for de registreredes rettigheder for en konkret overførsel af personoplysninger.
Der er flere løsninger
Den første løsning er simpel: Stop brugen af Google Analytics og benyt i stedet en EU-baseret leverandør. Der findes flere europæiske alternativer, men fælles for dem alle er, at man taber al online historik, når man forlader Google Analytics. Den ejer Google nemlig. Dermed starter ens digitale markedsføring helt forfra.
En anden løsning er at fjerne personoplysningerne i overførslen. Med Google Analytics indsamles bl.a. brugerens IP-adresse. Det er muligt at konfigurere websites på en måde, så brugerens IP-adresse anonymiseres automatisk af Google. Derved kan individuelle brugere ikke identificeres, og der vil således ikke længere være tale om en personoplysning. Denne løsning kræver dog stadigvæk, at der udarbejdes en TIA, da der sker en overførsel til USA
En tredje løsning er at foretage en ”no reason to believe”-vurdering i sin TIA. Her skal virksomheden vurdere, om oplysningerne kan tænkes at have interesse for de amerikanske efterretningstjenester. Og om der er grund til at tro, at problematisk amerikansk lovgivning vil blive anvendt på den konkrete dataoverførsel.
Hvis ovenstående kan dokumenteres i en TIA, kan overførslen ske. Men det er en tung og omkostningsfuld proces at gøre manuelt, siden der skal udarbejdes en TIA for selv de mindste overførsler af persondata.
LegalTech kunne være svaret
Flere virksomheder er også begyndt at kigge i retning af LegalTech-løsninger, der kan løse dette problem. En LegalTech-løsning kan automatisere processen og gøre opgaven betydelig lettere - både for pengepungen og for de interne ressourcer.
Med GDPR-løsningen ComplyCloud kan du udarbejde TIAs ved dataoverførsler til en lang række tredjelande herunder USA på helt ned til 30 minutter. Og spørgerammen understøtter ”no reason to believe”-vurderingen. Indtil videre er der blevet lavet +5.000 TIA’er i ComplyClouds løsning, og tallet stiger dag for dag. Læs mere om ComplyClouds TIA her.
Webinar: Har du styr på dine tredjelandsoverførsler og Transfer Impact Assessments?
Den 11. marts kl. 12:00-13:00 holder ComplyCloud webinaret Har du styr på dine tredjelandsoverførsler og Transfer Impact Assessments? Her vil specialiserede jurister give dig det rette overblik over kravene for tredjelandsoverførsler og klæde dig på til at lave de lovpligtige TIAs.