Hvordan skal I forholde jer?
Baggrunden
For at klæde jer bedst muligt på til at træffe en beslutning om, hvordan I skal forholde jer til konklusionen fra Datatilsynet i jeres virksomhed, vil vi først se lidt nærmere på konklusionen og baggrunden for denne.
I 2018 indføres GDPR og Google melder ud, at Google Analytics er lovligt at anvende i henhold til GDPR. Dette skal ses i lyset af, at der på daværende tidspunkt forelå en aftale mellem USA og EU om overførsel af data, kaldet Privacy Shield-aftalen. Privacy Shield-aftalen blev imidlertid ugyldiggjort i 2020 ved EU-domstolen i den såkaldte Schrems II-sag.
Med Privacy Shield-aftalens fald frafaldt det almindelige aftalegrundlag for dataoverførsel mellem EU og tredjelande, hvilket betyder, at der kræves yderligere foranstaltninger for at sikre den fornødne beskyttelse af persondata.
Det er på baggrund af denne afgørelse og den efterfølgende store fælleseuropæiske analyse af Google Analytics, at Datatilsynet kan konkludere, at Analytics er ulovligt. Her skal det forstås, at det ikke er Google Analytics i sig selv, der er ulovligt og ej heller de data, som systemet opsamler. Det er derimod håndteringen af dataene, der er ulovlig, idet de sendes til USA, og der her ikke er nogen garanti for, at dataene ikke videregives.
Det er jeres beslutning
Det efterlader de danske virksomheder med det helt store spørgsmål: Skal vi lovliggøre vores data eller skal vi vente og se?
Her er der tre springende spørgsmål, som I skal forholde jer til.
- Det første spørgsmål er, hvad der sker på området fremadrettet, og om der vil komme nogle politiske løsninger på problemstillingen?Dette er utroligt svært at svare endeligt på, men fakta er, at der er forhandlinger i gang om en ny dataoverførselsaftale, kaldet Privacy Shield 2.0. Disse forhandlinger kan dog tage årevis, så det er utroligt usikkert at binde sig op på.
- Det andet spørgsmål er, hvad der sker, hvis værktøjet fortsat anvendes ulovligt? På nuværende tidspunkt er der ikke et klart svar på, hvad der sker, såfremt man ikke lovliggør sin dataindsamlingsstrategi. Datatilsynet er nemlig direkte blevet spurgt om:– Et, om de vil slå ned på de virksomheder, der fortsat anvender Google Analytics ulovligt, hvortil de svarer, at de ikke har en aktuel plan om det, men at man altid er velkommen til at anmelde en virksomhed til Datatilsynet for ulovlig brug.– To, om de vil straffe virksomheder bagud i tid for at anvende Google Analytics ulovligt, hvortil de svarer, at de ikke har nogle aktuelle planer om dette, men at de reelt ikke ved det.Det er dermed meget uklart, om de reelt kommer til at udskrive bøder for ulovlig brug af analyseværktøjet, men det kan samtidig heller ikke udelukkes.
- Det tredje spørgsmål er, om I ønsker at overholde loven?
Det er en mulighed at vente og se, hvad der sker, men faktum er, at hvis I anvender Google Analytics i dag og ikke gør noget, så bryder I loven. Derfor skal I tage stilling til, om I vil gøre noget ved problemstillingen nu, eller om I vil vente at se, velvidende at I bryder loven.
På baggrund af ovenstående bliver det i høj grad op til jer i virksomheden at beslutte, om I venter med at reagere, tager chancen og bruger værktøjet ulovligt eller løser problemet, så I overholder loven. Uanset hvad I vælger at gøre, er det vigtigt, at I tager et aktivt valg og kender konsekvenserne bedst muligt.