Nyhed

Endnu en europæisk afgørelse om brugen af Google Analytics

Det italienske datatilsyn, Garante Per La Protezione Dei Dati Personali, melder sig nu ind i gruppen af europæiske datatilsyn, der har afgjort, at brugen af Google Analytics overtræder reglerne i GDPR. Tilsynet finder i deres afgørelse, at der er overført personoplysninger til USA, men at der ikke har været effektive supplerende foranstaltninger, hvorfor beskyttelsesniveauet ikke har været tilstrækkeligt. Det er netop samme udfordring, som vi har set i de tidligere sager fra andre tilsynsmyndigheder i EU.

Google Analytics

sagen

I den pågældende sag fandt det italienske datatilsyn, at en virksomheds brug af Google Analytics resulterede i indsamling af mange typer brugerdata, herunder IP-adresse, browseroplysninger, operativsystem, skærmopløsning, sprogvalg samt dato og klokkeslæt for besøget på webstedet. Disse oplysninger er kategoriseret som personoplysninger, og oplysningerne blev i forbindelse med indsamlingen overført til USA. Tilsynet fandt i den forbindelse, at der ikke blev anvendt passende supplerende foranstaltninger til at hæve beskyttelsesniveauet til den nødvendige standard som indenfor EU. Tilsynet har givet virksomheden 90 dage til at rette op på overtrædelsen af reglerne, hvorefter de vil vurdere, om dataoverførslerne fortsat er ulovlige.

Særligt interessant ved denne afgørelse er, at det italienske datatilsyn påpeger, at de supplerende foranstaltninger, som Google har vedtaget for at sikre de overførte personoplysninger, ikke sikrede et tilstrækkeligt beskyttelsesniveau i lyset af vejledningen om supplerende foranstaltninger fra EDPB. En dataansvarlig kan dermed ikke blot forlade sig på, at de foranstaltninger, Google tilbyder, er tilstrækkelige. Derudover opfordrer tilsynet alle italienske – både offentlige og private – weboperatører, der benytter sig af Google Analytics, til at være opmærksomme på, om der foretages ulovlige overførsler.

njords bemærkninger

Selvom der er en ny aftale på vej mellem EU og USA vedrørende overførsler af personoplysninger, så er detaljerne endnu ikke på plads. Det betyder, at man som dataansvarlig stadig skal være opmærksom på sine overførsler til USA, herunder at der indføres supplerende foranstaltninger, der rent faktisk er effektive. Denne nye afgørelse fra Italien sætter netop endnu en streg under, at de supplerende foranstaltninger reelt skal være effektive i praksis, for ellers vil overførslerne være ulovlige.

VIL DU VIDE MERE?
Hvad kan vi gøre for dig?