Google is Turing’s cathedral, awaiting its soul. (George Dyson).
Opdateret 30/6 — Erhvervsstyrelsen har forkastet FDIH’s cookieløsning, hvilket må betyde, at brug af Google Analytics kræver aktiv opt-in. Mere følger, når jeg har talt med Erhvervsstyrelsen næste uge.
For et lille halvt års tid siden spurgte jeg Datatilsynet, hvorvidt det var lovligt eller ulovligt for danske virksomheder og myndighedsorganisationer, fx politiske partier, at anvende webanalyseværktøjer Google Analytics. Og nu er svaret landet.Jeg hæfter mig ved udtrykket ‘informeret samtykke’, men er ellers noget rundtosset efter fire-fem gennemlæsninger.
Til Datatilsynets afsluttende kommentar om, at de håber at have besvaret mit spørgsmål, kunne jeg replicere: ‘Nej, desværre. Jeg ville gerne have et klart svar på, hvorvidt det er lovligt eller ulovligt at anvende Google Analytics, en tjeneste, der fra ubstemte cloudlokationer deler brugeradfærdsdata med en lang række andre Google-tjenester, herunder søgemastodontens reklameben, Google Adwords.’ Men det kunne desværre ikke lade sig gøre.
På sin vis er jeg lidt forundret over, at jeg er den første dansker, der har rettet henvendelse til Datatilsynet angående Google Analytics, et stykke software der gennemsyrer det danske webosfære. Men det kan være nedenstående giver anledning til flere henvendelser; jeg føler i hvert fald ikke, at sagen er endegyldigt belyst. Fra en spændende diskussion af, hvorvidt det er tilrådeligt at anvende Google Analytics ud fra en forretningsmæssig vinkel på Linkedin, ved jeg, at Nordeas datajuridiske team ikke har kunnet sige god for Google Analytics & det er jo tankevækkende.
Læs også: Google Analytics: Hvordan skal vi fortolke informeret samtykke?
Læs også: Danske partier deler persondata med Google.
Datatilsynet har endnu ikke behandlet sager vedrørende danske virksomheders eller myndigheders brug af Google Analytics eller i øvrigt haft lejlighed til konkret at tage stilling til brugen heraf.
Tilsynet kan generelt oplyse, at persondataloven[1] indeholder regler om behandling af personoplysninger. Reglerne giver bl.a. mulighed for behandling af personoplysninger, der sker udelukkende i statistisk øjemed. Den relevante regel er persondatalovens § 6, stk. 1, nr. 5, som skal sammenholdes med lovens § 10, stk. 2 og 3, som sætter grænser for anvendelse og videregivelse af oplysninger, der behandles udelukkende i statistisk øjemed.
Hvis formålet med behandlingen af personoplysningerne ikke udelukkende er statistisk – f.eks. hvis virksomheden anvender de indsamlede personoplysninger i forhold til den enkelte person til at bestemme, hvilket indhold der præsenteres for personen – kan de særlige ”statistikregler” ikke bruges.
I så fald må den dataansvarlige virksomhed overveje, om databehandlingen kan ske uden samtykke i medfør en af bestemmelserne i persondatalovens § 6, stk. 1, herunder om den påtænkte databehandling er nødvendig for, at virksomheden kan varetage en berettiget interesse, der overstiger hensynet til de personer, der behandles oplysninger om, jf. interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7[2].
Hvis interesseafvejningsreglen ikke er opfyldt, vil databehandlingen kunne ske med udtrykkeligt samtykke, jf. persondatalovens § 6, stk. 1, nr. 1. Samtykket skal opfylde persondatalovens krav som beskrevet i lovens § 3, nr. 8.
Persondatalovens regler indebærer også, at den dataansvarlige skal sørge for, at personoplysningerne er beskyttet med de fornødne sikkerhedsforanstaltninger – se nærmere i lovens § 41.
Hvis den dataansvarlige virksomhed benytter en såkaldt databehandler[3] til at udføre den praktiske behandling af personoplysninger på den dataansvarliges vegne, skal virksomheden tillige være opmærksom på kravene i persondatalovens § 42 om bl.a. skriftlig databehandleraftale.
Hvis en dansk virksomhed er dataansvarlig for behandling af personoplysninger og disse overføres til et tredjeland[4], skal den danske dataansvarlige sikre sig, at de særlige regler herom i persondatalovens § 27 tillige iagttages. Der kan f.eks. være tale om, at behandlingen af personoplysninger sker i USA hos et firma, som har tilsluttet sig den såkaldte Safe Harbor-ordning. En anden mulighed er, at der benyttes standardkontrakter udformet af Kommissionen. Du kan læse mere om tredjelandsoverførsler her: http://www.datatilsynet.dk/erhverv/tredjelande/sikre-tredjelande/.
Datatilsynet skal endvidere henlede opmærksomheden på reglerne i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) med senere ændringer. Tilsynet skal navnlig fremhæve direktivets artikel 5, stk. 3, om informeret samtykke med henblik på lovligt at lagre information eller få adgang til oplysninger, der er lagret på en abonnents eller brugers terminaludstyr.
Reglerne er i Danmark gennemført i telelovgivningen, som hører under Erhvervs- og Vækstministeriets (Den danske telemyndigheds) kompetence. For nærmere information om reglerne i bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr[5], som trådte i kraft den 14. december 2011, henvises derfor til Den danske telemyndighed. Du kan også læse om reglerne her: http://www.itst.dk/sikkerhed/privacy/lagring-af-og-adgang-til-oplysninger-pa-andres-udstyr.
Datatilsynet håber herved at have besvaret din henvendelse.
[1] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
[2] Efter persondatalovens § 6, stk. 1, nr. 7, må registrering, videregivelse og anden behandling af personoplysninger ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse
[3] Ved ”databehandler” forstås ifølge persondatalovens § 3, nr. 5, den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne
[4] Ved et ”tredjeland” forstås ifølge persondatalovens § 3, nr. 9, en stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (såkaldte EØS-lande)
[5] Bekendtgørelse nr. 1148 af 9. december 2012
Websitet der bruger GA er dataansvarlig for de oplysninger som indsamles. Men indsamlingen sker hos Google som bliver databehandler for websitet. Det forudsætter en databehandleraftale mellem de to parter (med særlige krav hvis data overføres til tredjeland som USA).
Allerede her må der være et problem i forhold til persondataloven. Med Google elastiske “privacy” betingelser, kan det danske website reelt ikke vide hvad Google (mis)bruger de indsamlede oplysninger til, og især om Google bruger oplysningerne til noget som ligger uden for den databehandlingsaftale der skal være med det danske website.
Og spørgsmålet er om der overhovedet er en sådan aftale mellem Google og det danske website? Kan det danske website eksempelvis forlange at Google sletter de indsamlede oplysninger? Altså virkelig sletter, ikke bare “Google sletter”. En databehandler skal naturligvis gøre det som en dataansvarlig beder om (ellers bliver Google selv dataansvarlig).
Datatilsynet i Hamburg har udarbejdet disse retningslinjer for at bruge GA
http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Guidelines_EnglishTranslation.pdf
Kravene fra Datenschutz Hamburg omfatter en databehandlingsaftale med Google (der er link til aftale affattet på tysk, jeg ved ikke om Google tilbyder dette til andre EU lande?), information til brugerne (samtykke), samt et krav om at de besøgendes IP adresser anonymiseres. Disse retningslinjer er fra før “cookie” direktivet, så Datenschutz Hamburg tager forbehold for yderligere krav.
Folk overser elefanten i lokalet.
Må man videresælge information om brugerens adfærd på ens website til 3. Part uden samtykke?
Google ejer din analyticsdata de ejer dermed også alt information de har samlet op i relation til dit cookieID og de kan dermed identificere dig online og sælge denne identifikation med tilhørende data til andre virksomheder.
Kan man det? Jeg fatter ikke at man overhovedet må!
Der er en meget klar forskel på at virksomheder er i stand til at vise dig indhold i forhold til den adfærd du har udvist på deres site og om de ved hvad du har lavet alle mulige andre steder. Præcis som i virkeligheden. En virksomhed kan godt skrive ned i deres CRM system hvad du forespørger, køber og interesserer dig på og sende dig tilbud på den baggrund. Dog vil jeg mene det er meget tvivlsomt om du må sælge den information videre til en central overvågningsdatabase som så sælger Info videre.
Er jeg den eneste der kan se den vitale forskel i sondring ?
@ Jesper Lund!
Tak for dine supplerende kommentarer. Vi er på linje hele vejen igennem. Spørgsmålet er, hvad vi kan gøre. Formulere et samlet skriv til både Datatilsynet & Erhvervs- og Vækstministeriet? For det lader til, at der er nogen, der sover gevaldigt i timen.
@ Ulrik
Nej, du er ikke den eneste. Men der er ikke mange af vores slags, tyder det (desværre) på.
Jeg har skrevet til de politiske partier, der anvender Google Analytics og hørt, hvordan de forholder sig til kravet om ‘informeret samtykke’. Derudover har jeg udbedt mig kontaktoplysninger på it-ordførere til citat.
Det er muligt, jeg får brug for lidt assistance på den tekniske front, så det kan være, jeg sender dig en mail på et tidspunkt.
Alt godt,
Kasper
Pingback: Ny gruppe om digial overvågning, Big Data & Data Mining | Server-Cloud -- om cloud-computing og servere