Afgørelse om brug af Google Analytics fra europæiske datatilsynsmyndigheder

Også det hollandske datatilsyn, Autoriteit Persoonsgegevens, rasler med sablen i to tilsvarende sager, der forventes offentliggjort i løbet af det tidlige forår, ligesom franske CNIL er kommet med endnu en afgørelse, som bakker op om konklusionen fra Østrig og fastslår, at brugen af den amerikanske tjeneste er ulovlig i EU.

Afgørelserne kan vise sig at få store konsekvenser for virksomheders brug af Google Analytics og ultimativt brugen af amerikanske cloud-tjenester i det hele taget i EU fremover.
 

Schrems II-afgørelsen

Tilbage i juli 2020 afsagde EU-domstolen dom i den såkaldte Schrems II-sag, der omhandlede overførsel af personoplysninger fra EU til USA. Dommen fastslog, at Privacy Shield-ordningen, som ofte blev benyttet som overførselsgrundlag til USA, ikke var foreneligt med GDPR, bl.a. fordi USA har lovgivning, der kan give amerikanske myndigheder adgang til personoplysninger om europæiske borgere. EU-Domstolen fastslog samtidig, at EU-Kommissionens standardkontrakter (SCC’er) fortsat er gyldige som overførselsgrundlag til lande udenfor EU/EØS, men at de ikke i alle tilfælde kan stå alene.

EDPB’s anbefalinger

I forbindelse med Schrems II-afgørelsen har Det Europæiske Databeskyttelsesråd (EDPB) vedtaget anbefalinger, der vedrører overførsler til tredjelande. Anbefalingerne indeholder en række trin, som man bør gennemgå for at fastslå, at man sikrer det samme niveau af databeskyttelse, som følger af GDPR, når man overfører personoplysninger til et land udenfor EU/EØS (et tredjeland).

Hvis man benytter sig af SCC’er som overførselsgrundlag, kræver det nu en konkret vurdering i hver sag for at sikre, at lovgivning og praksis i tredjelandet ikke forhindrer, at personoplysninger behandles med samme beskyttelsesniveau som under GDPR, når de overføres. Afhængigt af vurderingen kan det være nødvendigt at implementere såkaldte ”supplerende foranstaltninger” for at opnå tilstrækkelig beskyttelse af de overførte personoplysninger.

Selve vurderingen indebærer, at man skal forholde sig til, om der er noget i tredjelandets lovgivning eller praksis, der forhindrer databehandleren i at overholde sine forpligtelser i henhold til GDPR og det valgte overførselsgrundlag. Dette kan selvsagt være en vanskelig opgave for en dataansvarlig, idet man skal undersøge både lovgivning og praksis i et land, som man måske ikke har noget forudgående kendskab til.

Supplerende foranstaltninger

Hvis man i sin vurdering kommer frem til, at tredjelandets lovgivning eller praksis medfører, at databehandleren ikke kan sikre et tilstrækkeligt beskyttelsesniveau, skal man iværksætte supplerende foranstaltninger. EDPB’s anbefalinger indeholder en lang række eksempler på supplerende foranstaltninger, der kan benyttes.

Listen af eksempler i EDPB’s anbefalinger er ikke udtømmende, og der kan derfor være flere supplerende foranstaltninger, der sikrer et tilstrækkeligt beskyttelsesniveau, når man overfører personoplysninger til tredjelande. Det afgørende er alene, at foranstaltning effektivt sikrer samme niveau af databeskyttelse, som følger af GDPR.
 

Afgørelsen vedrørende Google Analytics fra Østrig

Som det første tog det østrigske datatilsyn stilling til, om der var tale om personoplysninger. De kom i afgørelsen frem til, at der var tale om personoplysninger i henhold til artikel 4, stk. 1 i databeskyttelsesforordningen, da de oplysninger, der blev overført, var tilstrækkelige til at identificere den registrerede og dermed kunne betragtes som personoplysninger i henhold til GDPR.

Efter at have fastslået, at organisationens brug af Google Analytics udgjorde en overførsel af personoplysninger, tog tilsynet stilling til, om overførslen var underlagt en mekanisme til at sikre et passende beskyttelsesniveau som krævet i artikel 44.

Overførslerne skete på baggrund af SCC’er i overensstemmelse med artikel 46, og der var ligeledes implementeret supplerende foranstaltninger som krævet i Schrems II-dommen. Dog fremhævede tilsynet, at supplerende foranstaltninger kun kan betragtes som værende effektive, såfremt de rent faktisk afhjælper de specifikke mangler, der er konstateret i vurderingen af tredjelandet.

I den forbindelse konstaterede tilsynet, at den tekniske foranstaltning om “kryptering i hvile” ikke ville kunne påberåbes i tilfælde, hvor Google har en direkte forpligtelse til at give adgang til eller overgive importerede personoplysninger, som de er i besiddelse af, til de amerikanske myndigheder.

Af denne årsag fastslog tilsynet, at der ikke var sikret et tilstrækkeligt beskyttelsesniveau i henhold til artikel 46, samt at dataoverførslen var i strid med artikel 44.

Afgørelsens betydning

Google Analytics er et statistikprogram, der anvendes af rigtig mange virksomheder, som dermed overfører personoplysninger til Google i USA. Det betyder derfor, at brugere af Google Analytics potentielt kan blive mødt med sanktioner fra EU-datatilsynsmyndigheder fremover.

Afvisningen af de implementerede supplerende foranstaltninger er af stor betydning, da det netop er disse supplerende foranstaltninger, som ofte anvendes af amerikanske cloud-udbydere i forsøget på at overholde GDPR, og en underkendelse af de nævnte supplerende foranstaltninger af andre EU-datatilsynsmyndigheder end de østrigske, franske og hollandske tilsynsmyndigheder bliver formentlig snart aktuel.

At datatilsynsmyndighederne gradvist er begyndt at erklære amerikanske tjenester ulovlige lægger yderligere pres på europæiske virksomheder for at ophøre med brugen af de amerikanske tjenester og på amerikanske udbydere for at sikre hosting af sådanne tjenester udenfor USA.
 

Datatilsynets vurdering

Datatilsynet i Danmark har indtil videre udtalt, at man vil nærlæse den østrigske afgørelse og følge de kommende afgørelser for de øvrige europæiske lande. På den baggrund vil Datatilsynet udforme nye vejledende tekster om brugen af værktøjer såsom Google Analytics.
 

NJORDs bemærkninger

Anbefalingerne fra EDPB og afgørelserne fra Østrig og Frankrig viser, at det er meget vigtigt at have styr på sin vurdering af de tredjelande, der overføres personoplysninger til og at sørge for, at effektive supplerende foranstaltninger indføres, hvor det er nødvendigt. Det er især vigtigt at være opmærksom, såfremt man benytter sig af tjenester lokaliseret i USA, herunder cloud-tjenester.

Det er derfor vigtigt, at man forholder sig til, om der i forbindelse med brug af tjenester sker overførsel af personoplysninger til tredjelande, og hvilket overførselsgrundlag der i så fald benyttes, således at man på den baggrund kan lave den nødvendige vurdering af tredjelandsoverførslen. Derudover er det afgørende, at man tager stilling til, om de supplerende foranstaltninger rent faktisk er effektive.