Google Analytics har vært et omstridt verktøy i lang tid. Ved å inkludere det på nettsidene vi lager hjelper vi Google med å samle inn enda mer data om våre besøkende. Nå har det landet ferske avgjørelser fra datatilsyn i EU som tyder på at verktøyet bryter med GDPR og er ulovlig å bruke.
I lys av Schrems-II dommen ble det klart at overføringer av personinformasjon til USA ikke er i tråd med de beskyttelsene en europeisk borger har krav på. Etter denne dommen valgte organisasjonen Non Of Your Business (NOYB) å melde 101 nettsider for brudd på GDPR fordi de brukte Google Analytics, og dermed sendte persondata til USA.
De siste dagene har det kommet to avgjørelser fra europeiske datatilsyn som tyder på at loven tolkes slik at bruk av Google Analytics vil være å anse som et brudd på GDPR sine restriksjoner mot overføring til tredjeland.
EDPS — datatilsynet for EUs organer — har gitt en reprimande til EU-parlamentet for deres bruk av Google Analytics på en intern nettside for COVID-testing. Dette ble ansett som en ulovlig overføring av personinformasjon til USA, og dermed brudd med den versjonen av GDPR som gjelder for EUs organer.
Østerrikes datatilsyn har i en av de 101 innklagede sakene fra NOYB avgjort at bruken av Google Analytics var i strid med GDPR. Dette er viktig, da Østerrikes datatilsyn er utpekt til å lede en felles innsatsgruppe for å avgjøre alle de 101 klagene. Det er dermed stor grunn til å tro at alle de andre sakene vil gå i NOYBs favør.
Avgjørelsen tar også høyde for om det er tilstrekkelig å benytte seg av funksjonaliteten i Google Analytics som skjuler IP-adressen til brukeren. Max Schrems (ja, den Schrems), som også leder NOYB, svarte klart nei på dette på Twitter.
Alt dette tyder på at bedrifter som benytter seg av Google Analytics, og tilsvarende analyseverktøy der dataene sendes til USA, snarest må legge planer for å gå over til alternativer som ikke bryter med rettighetene til europeiske borgere.