Datatilsynet klapper i om Google Analytics-afgørelsen: Afventer andre EU-lande
Selvom datatilsynet i Østrig i sidste uge klart og tydeligt dømte Google Analytics ulovligt, efter man havde nærstuderet Googles supplerende foranstaltninger, afviser den danske tilsynsmyndighed at kommentere på afgørelsen.
Her skriver den østrigske tilsynsmyndighed:
»Det er datatilsynets vurdering, at Google Analytics-værktøjet (i hvert fald versionen fra den 14. august 2020) ikke kan bruges i overensstemmelse med kapitel V i GDPR.«
Sagen stammer fra en klage den østrigske privacy-organisation ‘None of Your Business’ (noyb), ledet af privacy-aktivisten Max Schrems, som i 2018 fremsatte 101 såkaldte ‘model complaints’ til adskillige europæiske datatilsyn.
Sagen i Østrig handler om et anonymt forlags brug af cookies fra Google Analytics, som sender hjemmesidebesøgendes persondata til USA. I den forbindelse er det et krav fra EU-Domstolen og Det Europæiske Databeskyttelsesråd (EDPB), at dataansvarlige har et gyldigt overførselsgrundlag med supplerende foranstaltninger, der skal sikre personoplysningerne i det usikre tredjeland, som USA er.
Det østrigske datatilsyn har i forbindelse med sagen undersøgt de supplerende foranstaltninger, Google har iværksat i et forsøg på at sikre data efter EU’s standard i USA. Men ifølge tilsynsmyndigheden er det ikke godt nok, og det kan potentielt også ramme danske virksomheder og myndigheder.
I en nyhed, Datatilsynet netop har offentliggjort, skriver man, at mange dataansvarlige i Danmark bruger den slags værktøjer, og kan derfor sidde med en tvivl på baggrund af den østrigske afgørelse:
»Datatilsynet har forståelse for, at mange private virksomheder og offentlige myndigheder benytter lignende værktøjer og først på baggrund af Schrems II-dommen fra EU-Domstolen og nu på som følge af afgørelsen fra det østrigske datatilsyn er i tvivl om, hvorvidt – og hvordan – man kan bruge sådanne værktøjer inden for rammerne af databeskyttelsesreglerne, herunder overholde reglerne om overførsel af personoplysninger til tredjelande.«
Men den tvivl afviser Datatilsynet at komme med svar på.
Harmoniseringen af GDPR
Datatilsynet afviser at kommentere på trods af, at Version2 flere gange har anmodet om et interview siden fredag for blandt andet at spørge om, hvordan Datatilsynet nu forholder sig til brugen af Google Analytics i Danmark, og hvad afgørelsen kan betyde for harmoniseringen af GDPR-praksis i EU.
Medlemslandene har nemlig en ambition om, at GDRP skal fortolkes ens på på tværs af landegrænser, så reglerne gælder ligeligt for alle – uanset om man eksempelvis er dataansvarlig i Østrig eller Danmark.
I nyheden understreger Datatilsynet også, at den ambition er ‘afgørende':
»Idet databeskyttelsesreglerne grundlæggende er et fælleseuropæisk regelsæt, som bl.a. har til hensigt at fremme det indre marked, er det afgørende, at de europæiske tilsynsmyndigheder har en fælles fortolkning af reglerne,« skriver man.
Men i samme nyhed, der er tilsynsmyndighedens første offentlige kommentar på den østrigske afgørelse, nævner man ikke noget om Datatilsynets holdning til kollegaernes vurdering.
I stedet vil man nu gå i gang med at »nærlæse afgørelsen fra vores østrigske kollegaer og løbende følge de øvrige afgørelser fra vores europæiske kolleger i de 101 klagesager fra noyb.«
Herefter forventer man at lave en vejledende tekst på baggrund af den østrigske afgørelse og andre forventede afgørelser i EU om Google Analytics.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
