Sist endret: 3. mars 2023
Datatilsynets foreløpige konklusjon er at bruk av Google Analytics ikke er i tråd med personvernforordningen. Partene i saken får mulighet til å uttale seg i saken før datatilsynet fatter et formelt vedtak. Dette er det siste nye om saken du bør vite.
Kort oppsummert handler Google Analytics-saken om:
Datatilsynet anser FORELØPIG at bruk av Google Analytics er i strid med GDPR. Det er ikke fattet et endelig vedtak om dette, men det er nærliggende å tro at det vil skje om det ikke kommer noen nye opplysninger på bordet.
Veien videre mot et evt vedtak er:
1. Partene (Google) får 3 uker på å uttale seg om saken.
2. Utkast til avgjørelse sendes til EØS, som har en måned på å komme med innsigelser.
3. Vedtak fattes.
Vedtaket gjelder i utgangspunktet bare for en nettside, nemlig telenor.com. Dersom punktene datatilsynes mener er ulovlig, ikke kan endres på i instillingene i GA, vil det i praksis gjelde alle som bruker GA.
Følger Google Analytics 4 GDPR?
Google Analytics Universal Analytics ("gamle" GA) strider mot GDPR, men også GA4 gjør antakelig det slik det fungerer per i dag. UA har ganske mange personvern-faktorer som er i strid med GDPR, mens GA4 støtter alt unntatt at dataene blir overført til USA:
- GA4 lagrer ikke IP-adresser, som er i tråd med GDPR
- GA4 lar deg lagre dataene i kortere perioder, som er i tråd med GDPR
- GA4 bruker Consent Mode (hvis satt opp riktig), som er i tråd med GDPR
- GA4 lar de slette info om en enkelt bruker, som er i tråd med GDPR
- GA4 lar deg ikke lagre personlig identifiserbar informasjon, som er i tråd med GDPR
- Hvis vi deler data mellom GA4 og Google Ads (noe vi ønsker å gjøre) må dette informeres om i privacy policy og vi må ha samtykkemodul på siden som fungerer med Consent Mode
- GA4 lar oss IKKE velge hvor vi vil lagre dataene, så de kan bli sendt til USA og vi kan ikke velge bort dette. Dette er antakelig IKKE i tråd med GDPR
Av hensyn til personvern anbefaler vi derfor alle å oppgradere til GA4 så fort som mulig. Eventuelt kan du begynne å lete etter andre alternativer. Det siste vil være mer tidkrevende og kostbart enn det første, men om du vil være 100% sikker er det det tryggeste valget. Samtidig kan det være at GA4 ikke blir vurdert som ulovlig, eller at det vil være ulovlig i kun en kort periode inntil Google får tilpasset seg GDPR bedre (eller den ny avtalen mellom USA og EU kommer på plass - Trans-Atlantic Data Privacy Framework). Vi mener derfor at å oppgradere til GA4 er godt nok, FORELØPIG.
Hva som skjer videre er vanskelig å si, men her er noen sannsynlige utfall:
- Datatilsynet ender opp med å fatte vedtak om at GA er ulovlig, både UA og GA4 - dette kan skje allerede om et par måneder.
- Datatilsynet endrer mening etter at de har fått innspill fra alle partene, og fatter IKKE vedtak om at GA er ulovlig
- Google endrer på GA4 slik at man kan velge hvilke servere dataene lagres på. Da vil GA4 mest sannsynlig være innenfor GDPR og dermed bli lovlig i hele EU
- Avtalen mellom USA og EU (Trans-Atlantic Data Privacy Framework) blir signert, og gjør det lovlig å sende data til USA igjen.
Dette er noe du selv må ta stilling til , da vi ikke er avdokater. Om du er usikker på hva du bør gjøre, anbefaler vi at du søker juridisk bistand.