Nytt vedtak om Google Analytics: Anonymisering av IP-adresser ikke nok

Italias datatilsyn, Garante, følger de andre datatilsynene i Europa og advarer italienske nettstedeiere mot bruk av Google Analytics.

Nytt vedtak om Google Analytics: Anonymisering av IP-adresser ikke nok
Det er ikke nok å fjerne deler av IP-adressen før overføring til tredjeland, konkluderer det italienske datatilsynet. Skjermbilde: Google Analytics

– En nettside som bruker Google Analytics, uten sikkerhetstiltakene fastsatt i GDPR, bryter personvern-loven fordi den overfører brukeres data til USA, et land som mangler tilstrekkelig databeskyttelse.

Det skriver det italienske datatilsynet Garante i en pressemelding torsdag.

Dette er saken

Den europeiske personvernforordningen, GDPR, slår fast at dersom persondata skal overføres til land utenfor EU, må mottakerlandet følge de samme reglene for beskyttelse av personopplysninger som EU. Slik skal europeiske borgere være trygge på at deres rettigheter ikke undergraves dersom dataene brukes eller lagres et annet sted i verden.

Europeiske regler for GDPR står imidlertid i motsetning til en rekke andre lands lover om overvåkning. Amerikansk overvåkningslovgivning gir amerikanske myndigheter vide fullmakter til å hente inn data fra amerikanske selskaper.

Derfor har bruk av amerikanske skyleverandører fått stor oppmerksomhet etter den såkalte Schrems II-dommen, som slo fast at den mye brukte avtalen Privacy Shield ikke var nok til å sikre europeiske data hos amerikanske selskaper.

Google Analytics er en populær gratistjeneste som brukes av mange nettsteder for å følge trender og mønstre i bruk av nettsidene. Tjenesten samler blant annet IP-adresser og bevegelser på nettstedet. 

Personvernorganisasjonen NOYB (None of Your Business) mener bruken er i strid med GDPR og har sendt inn 101 klager på bruk av Google Analytics og Facebook Connect på europeiske nettsteder. 

Datatilsynene i Østerrike, Frankrike og Italia har alle funnet Google Analytics ulovlig å bruke i Europa. Ettersom de europeiske datatilsynene samarbeider, er det lite sannsynlig at det vil komme motstridende vedtak i ulike land.

Datatilsynet i Norge har ennå ikke gått ut med resultatet i sine tre klager.

I tett samarbeid med andre datatilsyn i Europa har Garante gjennomført det de beskriver som en «kompleks undersøkelse» basert på flere klager.

Konklusjonen: Nettsider som bruker Google Analytics samler, gjennom informasjonskapsler, informasjon om brukeres interaksjon med nettsidene, besøkte sider og tjenester. Dataene som blir samlet inkluderer IP-adresser, nettleser-informasjon, operativsystem, skjermoppløsning, språkvalg, dato og tidspunkt. Denne informasjonen blir overført til USA, noe som er ulovlig etter Schrems II-kjennelsen.

Les også

Ikke nok å anonymisere IP-adresse

– IP-adressen er persondata og ble ikke anonymisert, selv om den ble avkortet – gitt Googles evner til å berike slike data gjennom tilleggsinformasjon de allerede sitter på, skriver Garante.

De følger dermed både Østerrike og Frankrike, som har konkludert med at anonymiseringen Google tilbyr gjennom å fjerne en del av sifrene i IP-adressen, ikke er nok.

Østerrike parkerte i sitt siste vedtak både argumentene om anonymisering og risikobasert tilnærming som irrelevante.

Venter på ny transatlantisk data-avtale

25. mars sto USAs president Joe Biden, og EU-kommisjonens president Ursula von der Leyen sammen på talerstolen og la stolt frem at de hadde «blitt enige om en enestående avtale for beskyttelse av personvernet til våre innbyggere».

Nyheten ga håp om etterlengtet juridisk klarhet etter at Schrems II-dommen i 2020 slo fast at Privacy Shield, avtalen som sikret lovlig utveksling av persondata over Atlanterhavet, var ugyldig.

En slik avtale ville igjen gjøre bruk av verktøy som Google Analytics uproblematisk.

Men allerede før avtaleteksten er på plass, varsler personvernforkjempere at de vil sørge for å få prøvet det nye «transatlantiske personvern-rammeverket» i retten. Det kan dermed ta flere år før en reell ny dataoverføringsavtale er klar.

Brukere av Google Analytics må uansett belage seg på å se etter alternative webanalyseverktøy ettersom verktøyet, slik vi kjenner det, blir slått av i 2023.

Advarer nettstedeiere

Selskapet Garante har behandlet klagen på, har nå 90 dager på seg til å endre egen praksis. Garante benytter anledningen til å sende en advarsel til alle italienske nettstedeiere.

– Det italienske datatilsynet ønsker å gjøre alle italienske nettstedoperatører, både private og offentlige, oppmerksomme på at det er ulovlig å overføre data til USA gjennom bruk av GA, skriver Garante. 

Les også