Datatilsynet klapper i om Google Analytics-afgørelsen: Afventer andre EU-lande

19. januar kl. 15:107
Datatilsynet
Illustration: Datatilsynet.
Den danske tilsynsmyndighed vil i stedet for gå i gang med at nærlæse den østrigske afgørelse og løbende følge øvrige afgørelser fra europæiske kollegaer. Datatilsynet forventer at lave en vejledning på sigt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Selvom datatilsynet i Østrig i sidste uge klart og tydeligt dømte Google Analytics ulovligt, efter man havde nærstuderet Googles supplerende foranstaltninger, afviser den danske tilsynsmyndighed at kommentere på afgørelsen.

Her skriver den østrigske tilsynsmyndighed:

»Det er datatilsynets vurdering, at Google Analytics-værktøjet (i hvert fald versionen fra den 14. august 2020) ikke kan bruges i overensstemmelse med kapitel V i GDPR.«

Sagen stammer fra en klage den østrigske privacy-organisation ‘None of Your Business’ (noyb), ledet af privacy-aktivisten Max Schrems, som i 2018 fremsatte 101 såkaldte ‘model complaints’ til adskillige europæiske datatilsyn.

Artiklen fortsætter efter annoncen

Sagen i Østrig handler om et anonymt forlags brug af cookies fra Google Analytics, som sender hjemmesidebesøgendes persondata til USA. I den forbindelse er det et krav fra EU-Domstolen og Det Europæiske Databeskyttelsesråd (EDPB), at dataansvarlige har et gyldigt overførselsgrundlag med supplerende foranstaltninger, der skal sikre personoplysningerne i det usikre tredjeland, som USA er.

Det østrigske datatilsyn har i forbindelse med sagen undersøgt de supplerende foranstaltninger, Google har iværksat i et forsøg på at sikre data efter EU’s standard i USA. Men ifølge tilsynsmyndigheden er det ikke godt nok, og det kan potentielt også ramme danske virksomheder og myndigheder.

I en nyhed, Datatilsynet netop har offentliggjort, skriver man, at mange dataansvarlige i Danmark bruger den slags værktøjer, og kan derfor sidde med en tvivl på baggrund af den østrigske afgørelse:

»Datatilsynet har forståelse for, at mange private virksomheder og offentlige myndigheder benytter lignende værktøjer og først på baggrund af Schrems II-dommen fra EU-Domstolen og nu på som følge af afgørelsen fra det østrigske datatilsyn er i tvivl om, hvorvidt – og hvordan – man kan bruge sådanne værktøjer inden for rammerne af databeskyttelsesreglerne, herunder overholde reglerne om overførsel af personoplysninger til tredjelande.«

Men den tvivl afviser Datatilsynet at komme med svar på.

Harmoniseringen af GDPR

Datatilsynet afviser at kommentere på trods af, at Version2 flere gange har anmodet om et interview siden fredag for blandt andet at spørge om, hvordan Datatilsynet nu forholder sig til brugen af Google Analytics i Danmark, og hvad afgørelsen kan betyde for harmoniseringen af GDPR-praksis i EU.

Medlemslandene har nemlig en ambition om, at GDRP skal fortolkes ens på på tværs af landegrænser, så reglerne gælder ligeligt for alle – uanset om man eksempelvis er dataansvarlig i Østrig eller Danmark.

I nyheden understreger Datatilsynet også, at den ambition er ‘afgørende':

»Idet databeskyttelsesreglerne grundlæggende er et fælleseuropæisk regelsæt, som bl.a. har til hensigt at fremme det indre marked, er det afgørende, at de europæiske tilsynsmyndigheder har en fælles fortolkning af reglerne,« skriver man.

Men i samme nyhed, der er tilsynsmyndighedens første offentlige kommentar på den østrigske afgørelse, nævner man ikke noget om Datatilsynets holdning til kollegaernes vurdering.

I stedet vil man nu gå i gang med at »nærlæse afgørelsen fra vores østrigske kollegaer og løbende følge de øvrige afgørelser fra vores europæiske kolleger i de 101 klagesager fra noyb.«

Herefter forventer man at lave en vejledende tekst på baggrund af den østrigske afgørelse og andre forventede afgørelser i EU om Google Analytics.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
21. januar kl. 10:07

Ja, nej, semi.

Der står i forordningen, at en relevant myndighed skal udnævne kontrolmyndigheden, og skal sikre Datatilsynets/-ene budget og resurser, men derudover er Datatilsynet fuldt uafhængigt og svarer kun direkte til Databeskyttelsesrådet i EU, som igen kun svarer direkte til EU Kommissionen.

Fx kan Folketinget ikke vælge at afskaffe Datatilsynet (det kan de dog de facto ved at fjerne økonomi og resurser; men det må de ikke).

Fx kan Folketinget heller ikke vælge, at nu skal Datatilsynet altså udføre sit arbejde på en bestemt måde. Eksempelvis da der var snak om at indføre en "påbudsordning". Det var fra starten et fata morgana. Det står også tydeligt beskrevet i netop Kapitel VI, hvorfor Folketinget ikke ville kunne gøre det.

Dog har du ret i, at Folketinget godt kan give Datatilsynet yderligere beføjelser, end de har i Forordningen, og fsva. disse ekstrabeføjelser, så har du ret i, at de er underlagt Folketinget.

6
21. januar kl. 08:22

Det er faktuelt forkert, at Datatilsynet ikke er underlagt Folketinget. GDPR kapitel 6 fastsætter, at medlemsstaterne selv ved lov skal oprette tilsynsmyndighederne og sikre de relevante kompetencer. Det fremgår tydeligt i databeskyttelseslovens kapitel 10, at det er Folketinget som har vedtaget Datatilsynet.

2
19. januar kl. 22:28

Selvfølgelig gør de det. Enhver, der har været i kontakt med Datatilsynet ved, hvor inkompetente de er; og at de helst ikke foretager sig noget. Derudover kommer de ofte med underlige udtalelser, fx som her forleden, hvor de udtalte, at registrering af en borgers/medarbejders vaccinationsstatus ikke er en sundhedsoplysning. Det står de vist ret ene om blandt EUs datatilsyn.

1
19. januar kl. 15:41

Ræve har mange udgange i hulen. Det bliver spændende at se, hvilken nødudgang Datatilsynet kan finde på denne gang.

Jeg kan se for mit indre blik, hvordan det har lydt i tilsynets gange og kontorer og hjemme hos nøglepersonerne derfra siden i fredags:

" Damn, f....., damn, f....., damn, f....., "

(Er det mon derfor, Malou Aamund forlader Google? "Nu' det ikke sjov mere"? Bare et vildt gæt..)