FAQ

Du kan fortsætte med at bruge Google Analytics men du er nødt til at bruge en proxy løsning, som forhindrer direkte kommunikation mellem slutbrugerens browser og Google. Dette er fastslået af datamyndighederne i flere europæiske lande herunder det danske datatilsyn. Datatilsynet fastslår at hvis der ikke findes en tilfredsstillende løsning skal brugeren stoppe med at bruge Google Analytics og eventuelt finde en anden analyse udbyder.

Se: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr eller https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/brug-af-google-analytics-til-webstatistik

Det meste af den information der bliver indsamlet, vil ikke blive ændret. Du vil f.eks. fortsat modtage information om brugernes navigation på din hjemmeside og hvor en person foretager et køb eller forlader hjemmesiden. Du mister dog adgang til personlige information om præcis geografisk placering for en bruger. Google baserer den geografiske placering på brugernes IP-nummer som ikke må videresendes til Google.

En bruger der besøger en hjemmeside med Google Analytics tilknyttet, vil automatisk få videresendt personhenførbar information til Googles servere. De amerikanske myndigheder kan bede Google at udlevere al information vedrørende en bruger og ovenikøbet bede Google om assistance til at dekryptere data (hvis det er relevant). Dette gælder også for data opbevaret på servere uden for USA hvis disse er ejet af amerikanske firmaer. Amerikanske myndigheder som f.eks. FBI eller CIA er berettigede til at få adgang til data pga. FISA Section 702 lovgivningen. EU-domstolen har vedtaget at de amerikanske myndigheder har mere magt end strengt nødvendigt, og at EU borgere har for få juridiske rettigheder når de bliver efterforsket af amerikanske myndigheder. Dette er i strid med GDPR.

Se her s. 21.

Det er udelukkende den personhenførbare information der sendes til Google (et amerikansk firma) der er i strid med GDPR. I det tilfælde at der kan argumenteres for at information der sendes, ikke kan identificere en specifik person, på trods af dygtige mennesker hos Google/FBI/CIA med adgang til alle tænkelige ressourcer, vil afsendt information ikke være i strid med GDPR.

Se https://www.gdpreu.org/the-regulation/key-concepts/personal-data/

Nej, du kan ikke anvende Google Analytics uden at foretage yderligere tiltag for at beskytte slutbrugerens privatliv. Det franske datatilsyn (CNIL) har udarbejdet en dybdegående juridisk og teknisk analyse af GA i forhold til GDPR, se https://www.cnil.fr/en/qa-cnils-formal-notices-concerning-use-google-analytics. Deres konklusion er at GA ikke kan konfigureres, så det lever op til GDPR. Det danske datatilsyn udtaler at hvis du ønsker at bruge GA lovligt, og du er overbevist om at du har konfigureret GA så det lever op til GDPR, skal du kunne dokumentere og demonstrere at de områder der er identificeret af tilsynsmyndighederne, er irrelevante.

Se https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/google-analytics

Datatilsynet i Danmark, Frankrig, Italien og Østrig har vedtaget at dataoverførsler til USA via Google Analytics skal ophøre hvis der ikke tages yderligere sikkerhedsmæssige foranstaltninger i brug. Se https://www.contentgrip.com/eu-countries-ban-google-analytics. Den europæiske databeskyttelses superviser (EDPS) har meddelt at GA ikke lever op til GDPR. Andre europæiske lande forventes at følge denne linje.

Se https://www.loyensloeff.com/insights/news–events/news/data-protection-authorities-say-no-to-google-analytics-whats-next

Nogle sporingsteknologier lever op til GDPR. Det er afgørende at disse teknologier ikke opbevarer og/eller behandler data i USA (eller andre ikke sikre tredjelande) eller er ejet af firmaer fra ikke sikre tredjelande.

Ja, hvis de videresender personlige data til USA eller til et amerikansk firma.

Nej, der er ikke en indkøringsperiode.

Se https://techcrunch.com/2022/02/10/cnil-google-analytics-gdpr-breach eller på dansk https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/google-analytics.

Før eller siden forventes det at der bliver uddelt bøder. Se https://finans.dk/tech/ECE14425154/ekstremt-populaert-googlevaerktoej-er-ikke-laengere-tilladt-i-standardindstilling-millioner-af-danske-websider-ramt og https://www.techzine.eu/news/privacy-compliance/76885/france-bans-google-analytics-fines-rise-to-20-million-euros/.

Det er en god ide som minimum at begynde at planlægge hvordan det er muligt at opnå GDPR compliance samt at undgå en unødig forsinkelse af denne overgang.

Ja, datatilsynet udsteder også bøder til små virksomheder, hvis de ikke efterlever GDPR.

Se https://www.datatilsynet.dk/hvad-siger-reglerne/myter-om-gdpr. Se også https://www.enforcementtracker.com. Bemærk at enhver person som mener at deres privatlivsrettigheder er blevet krænket, har ret til at indgive en klage til datatilsynet.

Nej, ifølge artikel 49 i GDPR er dette kun muligt hvis brug af GA ikke er systematisk og langvarig eller permanent. Brugen af GA er netop systematisk og ofte langvarig eller permanent.

Se https://www.cnil.fr/en/qa-cnils-formal-notices-concerning-use-google-analytics

Ja, sandsynligvis men den transatlantiske dataaftale er endnu ikke trådt i kraft og det varer flere måneder inden det sker. Der er stor sandsynlighed for at aftalen bliver anfægtet som det skete med den forrige dataaftale (Privacy Shield Agreement). Der er stor sandsynlighed for at den nye transatlantiske dataaftale ligeledes vil blive vurderet som værende i strid med GDPR. Præcis som den forrige aftale (Data Privacy Shield) mellem USA og EU.

Se https://iapp.org/news/a/a-view-from-brussels-the-latest-on-the-dsa-dma-and-privacy-shield/ and https: //www.mondaq.com/unitedstates/privacy-protection/1239198/mark-your-calendars-for-schrems-iii-key-takeaways-from-the-latest-developments-in-the-eu-us-data-deal

Nej.

Se See https://fpf.org/blog/what-happened-to-the-risk-based-approach-to-data-transfers og https://www.cnil.fr/en/qa-cnils-formal-notices-concerning-use-google-analytics

Google har tidligere lavet nogle forbedringer for bedre at leve op til GDPR. Disse forbedringer har dog ikke været tilstrækkelige til at gøre Google Analytics GDPR compliant. Et afgørende problem er at der ikke kan laves en direkte anmodning til Google servere uden at afsløre slutbrugerens IP-nummer. Dette er en af de vigtigste grunde til at datamyndighederne har afgjort at Google Analytics er i strid med GDPR uanset hvordan det er konfigureret. Af den grund virker det usandsynligt at der skulle findes en løsning der ikke involverer en uafhængig tredjepart (f.eks. en proxy server).