På samme måte som at Privacy Shield falt i forlengelsen av Schrems II, har nå datatilsynet i Østerrike kommet frem til at fortløpende bruk av Google Analytics ikke er tillatt i henhold til GDPR, jf. https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
Begrunnelsen er at myndighetene i USA har et for omfattende mandat til å overvåke, og at den enkelte ikke har tilstrekkelig rettslig adgang til å få overvåkningen overprøvet. Dette er det ikke mulig for bedrifter i USA å avtale seg ut av, og den eneste reelle løsningen er at bedrifter i USA tilbyr løsninger som holder personopplysningene innenfor EU. Dette har ANFO tatt opp med Facebook og Google for et par år siden med utgangspunkt i CRM-matching. Vi fikk respons fra begge, men det rant ut i sanden grunnet manglende interesse fra deres side. Vi tror begge synes det er besværlig å skille mellom EU og USA i egne systemer.
«Google Analytics er nå under press, og det blir spennende å se om Google fortsatt vil insistere på å ikke tilpasse seg GDPR.»
– Carsten Gunnarstorp
En avgjørelse fra datatilsynet i Østerrike har begrenset rettskildeverdi i Norge. Den vil gi argumenter som må vurderes etter norsk lov, men heller ikke noe mer. Dersom avgjørelsen leder til en mer enhetlig praksis i EU vil rettskildeverdien i Norge bli vesentlig større. Frem til dette er mer avklart, vil vi anbefale å følge det norske datatilsynets standpunkt om at Google Analytics er ok. dersom anonymiseringsfunksjonen er aktivert, jf. https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/webanalyse/
Saken illustrer at det er svært viktig å skaffe seg kontroll på hva som skjer – og ikke skjer – på annonsørenes nettsteder. Dette inngår som en del av den revisjonstjenesten som ANFO tilbyr til sine medlemmer. Les mer om ANFOs GDPR-sjekk HER