Etter at EU-domstolen i juli vedtok dommen Schrems II, har det hersket stor forvirring hos norske mediebedrifter rundt lovligheten av å bruke analyseverktøyet Google Analytics i Norge.
Grunnen til usikkerheten er blant annet at dommen ugyldiggjorde det såkalte «Privacy Shield», som var et rammeverk for lovlig utveksling av data mellom EU og USA.
Nå ser det ut til at Googles analyseverktøy fremdeles vil være lovlig å bruke i Norge inntil videre, etter at Google i midten av august annonserte at de vil flytte sine brukeravtaler over på EUs rammeverk, «Standard Contractual Clause».
IKT-ekspert Torgeir Waterhouse i selskapet Otte mener det er flere ting norske mediebedrifter må forsikre seg om, dersom de vil fortsette å bruke Google Analytics i tiden fremover.
– Den enkelte aktør må uansett verifisere om de har kontroll på brukernes data gjennom tjenestene de benytter seg av. Det gjelder både for Google Analytics i seg selv, og om måten det brukes konkret på er i strid med regelverket, sier han til Medier24.
IKT-ekspert Torgeir Waterhouse.Ole Gunnar Onsøien
– Personvernreglene må være på plass
Waterhouse forteller at man både fra næringslivet og fra politisk side ønsker å legge til rette for bruken av avanserte teknologiske tjenester som er basert på persondata, til verdiskapning.
For å kunne gjøre dette på en forsvarlig måte, er det likevel noen elementer som må være i orden.
– Personvernreglene må være på plass, fordi det er viktig for samfunnet å ha kontroll på hvordan disse dataene benyttes, sier IKT-eksperten.
Og legger samtidig til:
– Derfor finnes det strenge regler på dette, som blant annet gjør at vi som brukere må samtykke til avtaler for hvordan dataene våre blir brukt.
Waterhouse er også klar på at de nye avtalene som er omfattet av SCC-rammeverket, gir bedriftene som bruker Google Analytics et større ansvar for personvern og forsvarlig databehandling enn de tidligere hadde med Privacy Shield-ordningen.
Kan bøtelegges for brudd
Seksjonssjef i Datatilsynets internasjonal seksjon, Tobias Judin.Ilja C. Hendel
Medier24 har også spurt Datatilsynets seksjonsleder, Tobias Judin, om hva som kan bli konsekvensene dersom man blir tatt for å bryte personvernslovgivningen.
– Vi har en sanksjonsmulighet som kalles irettesettelse, der vi klart og tydelig gir beskjed om at en type oppførsel ikke er i orden, sier han til Medier24.
Hjelper ikke irettesettelsen, har tilsynet også andre muligheter til å sanksjonere. Blant annet opplyser tilsynet på sine hjemmesider at de har myndighet til å ilegge bøter på inntil 200 000 kroner.
– Vi har også et overtredelsesgebyr, som er en form for bot man må betale. Når det gjelder Schrems II-dommen spesifikt, tenker vi at den er fersk og komplisert, så det er noe vi vil ta hensyn til, sier han avslutningsvis før han legger til:
– Vi ønsker å formidle at alle må ta en gjennomgang av tjenestene sine. Alle kan gjøre feil, men om man vet eller burde vite at man bruker tjenester som utleverer informasjon til land utenfor EØS ulovlig og ikke gjør noe med det, kan det være alvorlig.
