Ákvörðun austurrísku persónuverndarstofnunarinnar um notkun Google Analytics
26. janúar 2022
Austurríska persónuverndarstofnunin tók nýverið ákvörðun þar sem komist er að þeirri niðurstöðu að við núverandi aðstæður sé austurrískum fyrirtækjum óheimilt að nota greiningarvél Google (e. Google Analytics) á vefsíðum sínum.
Í kjölfar dóms Evrópudómstólsins í svokölluðu Schrems II-máli lögðu samtökin None of Your Business („NOYB“) fram 101 kvörtun til fjölda evrópskra persónuverndaryfirvalda vegna vefsíðna sem notast hafa við greiningarvél Google. Töldu samtökin að með notkun hennar væru persónuupplýsingar þeirra sem heimsækja umrædda vefi fluttar til Bandaríkjanna, og að flutningurinn færi í bága við persónuverndarlöggjöfina.
Austurríska persónuverndarstofnunin komst að þeirri niðurstöðu að persónuupplýsingar hefðu verið fluttar til Google LLC í Bandaríkjunum. Með vísan til dóms Evrópudómstólsins í Schrems II-málinu var úrskurðað um að flutningurinn hafi verið í bága við 44. gr. reglugerðar (ESB) 2016/679 um miðlun persónuupplýsinga til þriðju landa.
Auk þess var komist að þeirri niðurstöðu að þær ráðstafanir sem gerðar höfðu verið til viðbótar við stöðluð samningsákvæði (e. standard contractual clauses) hefðu ekki verið fullnægjandi þar sem þær komu ekki í veg fyrir að hægt væri að fylgjast með og nálgast upplýsingarnar.Í ljósi þessa komst austurríska persónuverndarstofnunin að því að hlutaðeigandi fyrirtæki gæti ekki notað greiningartækið Google Analytics við núverandi aðstæður.
Staðan á Íslandi
Mörg einkafyrirtæki og opinberar stofnanir nota svipuð greiningartæki og Google Analytics. Niðurstaðan í Schrems II og nú ákvörðun austurrísku persónuverndarstofnunarinnar velta upp þeirri spurningu hvort - og þá hvernig - nota megi slík verkfæri þannig að það samræmist persónuverndarlöggjöfinni, ekki síst með tilliti til reglna um flutning persónuupplýsinga til þriðju landa.
Þar sem persónuverndarlöggjöfin er í grunninn sameiginlegt evrópskt regluverk er nauðsynlegt að evrópskar persónuverndarstofnanir túlki reglurnar með sama hætti.
Persónuvernd mun því kynna sér austurrísku ákvörðunina vel og fylgjast með þróun mála hjá systurstofnunum hennar á Evrópska efnahagssvæðinu. Persónuvernd gerir ráð fyrir að birta samantekt og leiðbeiningar um notkun á greiningarverkfærum eins og Google Analytics við fyrsta tækifæri.