Ekspertkommentar
Jørgen Skorstad portrait

101 Damnations? En (meta)analyse av den franske Google Analytics-saken

Lesetid ca. 18 minutter

De siste månedene har både Østerrikes og Frankrikes datatilsyn kommet til at analyseverktøyet Google Analytics ikke er lovlig å bruke fordi det bryter med den europeiske personvernlovgivningen GDPR. Her kan du lese Datatilsynets Jørgen Skorstads analyse av den franske Google Analytics-avgjørelsen.

101 Damnations? En (meta)analyse av den franske Google Analytics-saken
Om forfatteren:
Jørgen Skorstad er avdelingsdirektør i Datatilsynet. Skorstad ble cand.jur. ved Universitetet i Oslo i 2003. Han har også studert fransk og litteratur og språk (UiO), og juss ved Université Paul Cézanne i Frankrike. Skorstad ble ansatt Datatilsynet i 2005, og fra 2016 er han avdelingsdirektør samme sted. Skorstad har det overordnede ansvaret for Datatilsynets juridiske praksis og det internasjonale arbeidet i tilsynet. Sammen med Åste Marie Bergseng Skullerud, Marius Pellerud og Cecilie Rønnevik er Skorstad medforfatter av Personvernforordningen (GDPR). Kommentarutgave (2018) og Personopplysningsloven og personvernforordningen (GDPR). Kommentarutgave (2019).
Foto: Ilja Hendel/Datatilsynet.

1. Bakgrunn

Safe Harbour var et sett med prinsipper som tidligere regulerte overføring av personopplysninger fra EU-/EØS-land til USA, men som ble kjent ugyldig av EU-domstolen i Schrems I-saken fra 2015. (Hva som skjedde med Safe Harbour etter Schrems I-dommen kan du lese i lovkommentaren til personvernforordningen (GDPR) av Skullerud, Rønnevik, Skorstad og Engh Pellerud på Juridika). I etterkant av dommen fastholdt Maximillian Schrems og hans organisasjon noyb – European Center for Digital Rights at USA fremdeles ikke beskyttet personopplysninger overført fra Europa på en måte som var tilfredsstillende i lys av de krav som stilles i felleseuropeisk rett.

En klage til det irske datatilsynet førte etter hvert til at den irske High Court anmodet EU-domstolen om en prejudisiell avgjørelse i saken. Spørsmålene fra den irske domstolen handlet om gyldigheten av to av EU-kommisjonens beslutninger, nærmere bestemt beslutning 2010/87 og beslutning 2016/1250. Den første beslutningen gjorde det mulig å overføre personopplysninger til tredjestater ved hjelp av standardkontrakter, mens den andre beslutningen gjaldt Privacy Shield-ordningen, som erstattet Safe Harbour etter at sistnevnte ble kjent ugyldig. Privacy Shield var et avtalerammeverk mellom EU og EØS-/EFTA-statene og USA, som altså tillot dataeksportører i EØS-området å overføre personopplysninger til spesifikke mottakere i USA.

Denne prosessen førte til at EU-domstolen sommeren 2020 underkjente Privacy Shield i saken som siden bare har vært omtalt som Schrems II (sak C-311/18). Beslutning 2010/87 og standardkontrakten for overføring av personopplysninger til databehandlere i tredjestater ble ikke kjent ugyldig, men ble opprettholdt med visse reservasjoner.

Ikke lenge etter at Schrems II-dommen falt, sendte Max Schrems et stort antall klagesaker til ulike datatilsynsmyndigheter i Europa. Det er uklart om Max Schrems har vært inspirert av Disney-klassikeren «101 Dalmatians», eller om han er fan av det britiske indie-bandet Carter The Unstoppable Sex Machine (og debutplaten deres «101 Damnations») – det var i hvert fall nøyaktig 101 klager som ble sendt av gårde fra noybs hovedkvarter i Wien.

Felles for de 101 klagene er at de gjelder overføring av personopplysninger fra EØS-området til mottakere i USA. Klagene er alle rettet mot europeiske selskaper som bruker Google Analytics eller Facebook Connect, og som dermed bidrar til at det blir overført personopplysninger om europeiske internettbrukere til Googles og Facebooks datasentre i USA.

Felles for de 101 klagene er at de gjelder overføring av personopplysninger fra EØS-området til mottakere i USA.

Overføring av personopplysninger ut av EØS-området er i utgangspunktet ikke tillatt. Dette følger av personvernforordningen artikkel 44. Poenget med dette er at beskyttelsesnivået som det felleseuropeiske regelverket gir, ikke skal forsvinne ved at dataene eksporteres ut av «beskyttelsessonen». Man kan imidlertid likevel overføre slike data til mottakere i alle stater som EU-kommisjonen har godkjent som trygge. Privacy Shield var resultatet av en slik kommisjonsbeslutning. Ordningen tillot private selskaper og andre aktører i EØS-området å overføre personopplysninger til mottakere i USA, mer eller mindre fritt, så lenge mottakeren var tilsluttet Privacy Shield-ordningen. Som ellers ved all behandling av personopplysninger, var det også en forutsetning for slik overføring at de øvrige grunnkravene i personopplysningsregelverket var oppfylt.

Den direkte konsekvensen av at EU-domstolen underkjente Privacy Shield var at all eksport av persondata til USA umiddelbart enten måtte opphøre eller baseres på et annet rettslig grunnlag. Det var bare det at det ikke lenger var like enkelt å basere dataoverføringer på personvernforordningen artikkel 46, som var det mest nærliggende alternativet. Domstolen hadde nemlig innført et nytt kriterium, som det skulle vise seg vrient å oppfylle.

Den direkte konsekvensen av at EU-domstolen underkjente Privacy Shield var at all eksport av persondata til USA umiddelbart enten måtte opphøre eller baseres på et annet rettslig grunnlag.

Den franske Commission Nationale de l’Information et des Libertés (CNIL), som er datatilsynsmyndigheten i Frankrike, har nå behandlet en av de 101 klagesakene. Tidligere har vi også hørt at datatilsynsmyndigheten i Østerrike har kommet med en avgjørelse i en tilsvarende sak – se for eksempel artikkel på Datatilsynets sider eller i Dagens Næringsliv.

Nå skal vi se nærmere på den franske avgjørelsen.

2. Den behandlingsansvarlige

Kort fortalt kan verktøyet brukes til å samle inn informasjon om hvor mange som besøker et nettsted, og man kan også spore hvordan de besøkende beveger seg på nettstedets underliggende nettsider.

Saken handler om et fransk selskap som driver med salg av varer på nett. På nettstedet har selskapet integrert Google Analytics (GA). GA er et verktøy, nærmere bestemt et javascript, som enkelt kan installeres på alle nettsider. Kort fortalt kan verktøyet brukes til å samle inn informasjon om hvor mange som besøker et nettsted, og man kan også spore hvordan de besøkende beveger seg på nettstedets underliggende nettsider. Verktøyet gir kort og godt brukeren nyttig informasjon om hvordan kundene bruker nettstedet, og det er svært mye brukt. Selskapet har, i sitt svar til den franske myndigheten, redegjort for at formålet med å ta i bruk GA var å måle antallet besøkende eller kunder, og effekten av selskapets markedsføringskampanjer i media og andre steder på nettet. Selskapet oppga samtidig at GA legger til rette for sporing av alle besøkende på selskapets nettsider, med mindre den enkelte har tatt et aktivt valg for å unngå slik sporing.

Det som skjer da, er at GA tildeler en unik universell identifikator (UUID) til den besøkende. Denne identifikatoren kan igjen benyttes til å holde øye med den samme brukeren over tid, og til å spore den enkelte på tvers av ulike Google-tjenester. Ved hjelp av oppsamling av personopplysninger om unike brukere over tid, legges det til rette for å kunne bygge personlige profiler om de samme brukerne, som igjen kan brukes i forbindelse med for eksempel atferdsbasert markedsføring.

Ved hjelp av oppsamling av personopplysninger om unike brukere over tid, legges det til rette for å kunne bygge personlige profiler om de samme brukerne, som igjen kan brukes i forbindelse med for eksempel atferdsbasert markedsføring.

Innehaveren av det aktuelle nettstedet kan dessuten, i en viss utstrekning, kontrollere hvordan GA skal behandle personopplysningene. For eksempel kan innehaveren bestemme hvor lenge personopplysningene om de besøkende skal lagres. GA gjør det altså mulig for kunden å bestemme over behandlingen av personopplysningene gjennom å justere innstillingene.

Ved inkluderingen av GA på nettstedet, og gjennom denne kontrollen med behandlingen av personopplysningene i innstillingsparameterne, har selskapet bestemt over hjelpemidlene og behandlingsformålene. Det er disse to ingrediensene i legaldefinisjonen i personvernforordningen artikkel 4 nr. 7 som er avgjørende for hvem som er å regne som behandlingsansvarlig i regelverkets forstand. CNIL konkluderer, på bakgrunn av dette, med at det er det aktuelle selskapet som er den behandlingsansvarlige i kontekst av den beskrevne behandlingen. Situasjonen, og vurderingen, kan for øvrig minne om den vi så i dommen i sak C-40/17, som ble avsagt i 2019 («Fashion ID», se f.eks. premiss 85).

101 Damnations? En (meta)analyse av den franske Google Analytics-saken
Avgjørelsen fra det franske datatilsynet CNIL. Foto: Faksimile fra CNILs nettsider.

3. Personopplysningene

Det neste spørsmålet CNIL tok opp, var om de aktuelle opplysningene som GA samler inn og behandler, er å regne som personopplysninger i personvernforordningens forstand.

Personopplysningsbegrepet er kanskje det mest sentrale begrepet i personvernforordningen, og det er definert i forordningens artikkel 4 nr. 1. Legaldefinisjonen slår fast at personopplysninger er

enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Etter å ha redegjort for personopplysningsbegrepet, uttaler CNIL at nettidentifikatorer eller informasjon lagret i informasjonskapsler («cookies»), som f.eks. IP-adresser, kan brukes som middel til å identifisere enkeltindivider. Dette gjelder særlig når disse opplysningene kombineres med andre typer av lignende informasjon, ifølge tilsynet. CNIL viser her til forordningens fortalepunkt 30, der det er det presisert at

[f]ysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.

CNIL fortsetter med følgende generelle uttalelse: Dersom en behandlingsansvarlig i en gitt situasjon skulle mene at det ikke er mulig å identifisere nettbrukerne, så er det opp til den behandlingsansvarlige å godtgjøre hvilke hjelpemidler som er iverksatt for å forhindre identifikasjon.

Bevisbyrden ligger med andre ord hos den behandlingsansvarlige, understreker CNIL. Hvis ikke den behandlingsansvarlige klarer å påvise at det er iverksatt tilstrekkelige tiltak for å anonymisere nettbrukerne, så blir konsekvensen at opplysningene må regnes som personopplysninger.

Hvis ikke den behandlingsansvarlige klarer å påvise at det er iverksatt tilstrekkelige tiltak for å anonymisere nettbrukerne, så blir konsekvensen at opplysningene må regnes som personopplysninger.

4. Rettslig grunnlag for å overføre personopplysninger til USA

4.1 Personvernforordningen artikkel 44

Ifølge personvernforordningen artikkel 44, er det forbudt å overføre personopplysninger til mottakere i tredjestater, det vil si stater utenfor EØS-området. Formålet med dette forbudet er, som nevnt over, å hindre at den beskyttelsen som forordningen gir, ikke blir «undergravet» ved at persondata eksporteres ut av Europa, jf. forordningens fortalepunkt 101:

[…] Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater […], bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten […] til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat […]. Overføring til tredjestater […] må under alle omstendigheter bare skje i fullt samsvar med denne forordning.

Dette forbudet kan bare overvinnes ved hjelp av ett av instrumentene i artikkel 45, 46 eller 47, eller dersom dataeksportøren kan godtgjøre at minst ett av unntakene i artikkel 49 kommer til anvendelse.

Det er dette som er spørsmålet i saken: Har det franske selskapet et gyldig rettslig grunnlag for å overføre personopplysninger, ved hjelp av Google Analytics, til Google LLC i USA?

101 Damnations? En (meta)analyse av den franske Google Analytics-saken
GDPR artikkel 44. Foto: Faksimile fra lovkommentaren til GDPR på Juridika.

4.2 Personvernforordningen artikkel 45

CNIL innledet sin vurdering med å ta for seg artikkel 45, som handler om EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå.

Under denne delen viste det franske tilsynet kort til at den siste adekvansvurderingen som tillot at personopplysninger kunne overføres til USA, ble underkjent av EU-domstolen i 2020 (sak C-311/18 – Schrems II). I mangel av et annet tilsvarende instrument, fastslo CNIL ganske kort at de aktuelle overføringene ikke kunne baseres på artikkel 45.

4.3 Personvernforordningen artikkel 46 og supplerende tiltak

CNILs neste vurderinger handlet om artikkel 46. Den franske tilsynsmyndigheten gikk vesentlig dypere inn i sin analyse av denne artikkelen. Artikkelen tar for seg ulike garantier som dataeksportøren kan stille ved en forestående dataoverføring til en stat som ikke er anerkjent som en trygg mottakerstat av EU-kommisjonen i medhold av artikkel 45.

Det mest brukte alternativet under artikkel 46 er de såkalte «standard contractual clauses» («les clauses types»), som i den norske språkversjonen av forordningen har blitt hetende standard personvernbestemmelser.

Etter det CNIL opplyser må alle Google Analytics-kunder akseptere Googles standardvilkår, som i avgjørelsen omtales som «Google Ads Data Processing Terms: Model Contract Clauses, Standard Contractual Clauses for Processors». CNIL opplyser at disse vilkårene tilsvarer EU-kommisjonens standardvilkår vedtatt i kommisjonens beslutning 2010/87/EU. Disse standard personvernbestemmelsene ble vedtatt av kommisjonen allerede i 2010, altså flere år før personvernforordningen trådte i kraft. Men siden forordningen selv sier at bestemmelsene fremdeles skal ha gyldighet etter innføringen av forordningen, kan de altså fremdeles brukes – som et utgangspunkt.

Det mest brukte alternativet under artikkel 46 er de såkalte «standard contractual clauses».

EU-domstolen slo da også fast, i Schrems II-saken, at disse standardkontraktene ikke var ugyldige. Imidlertid understreket domstolen følgende (C-311/18, premiss 126):

Selv om der således findes situationer, hvor modtageren af en sådan overførsel, under hensyn til retstilstanden og gældende praksis i det pågældende tredjeland, kan garantere den fornødne beskyttelse af oplysningerne alene på grundlag af standardbestemmelserne om databeskyttelse, er der andre situationer, hvor vilkårene i disse bestemmelser muligvis ikke udgør et tilstrækkeligt middel til at sikre den effektive beskyttelse af de personoplysninger, som er overført til det pågældende tredjeland, i praksis. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland tillader, at dets offentlige myndigheder gør indgreb i de registreredes rettigheder vedrørende disse oplysninger.

CNIL refererer til at det i den foreliggende saken er unødvendig å vurdere lovgivningen i det aktuelle tredjelandet, dvs. USA, ettersom EU-domstolen allerede har gjort dette i den nevnte saken. Det franske tilsynet viser i den forbindelse til to av dommens premisser. For det første, sier CNIL, har domstolen konstatert at de amerikanske overvåkingsprogrammene ikke oppfyller minstekravene og proporsjonalitetsprinsippet i EU-retten (premiss 184). Og for det andre er de registrerte heller ikke innrømmet noen prosessuelle rettigheter til å få prøvd amerikanske myndigheters inngrep for en domstol, og de registrerte har derfor ikke adgang til effektive rettsmidler (192).

CNIL fastslår at Google LLC – i kraft av å være tilbyder av elektroniske kommunikasjonstjenester som definert i artikkel 50 i US. Code § 1881 (b)(4) – vil være forpliktet til å utlevere personopplysninger til amerikanske myndigheter i medhold av avsnitt 702 i den amerikanske Foreign Intelligence Surveillance Act («FISA 702»). CNIL nevner også at det fremgår av Googles egne rapporter at det regelmessig blir utlevert slike personopplysninger til amerikanske myndigheter.

Det franske tilsynet konstaterer deretter at standardkontraktene ikke er egnet til å sikre et tilstrekkelig beskyttelsesnivå for europeiske innbyggere som får sine personopplysninger overført til Google LLC i USA, idet CNIL viser til et av de sentrale premissene i Schrems II-dommen (C-311/18, premiss 133):

For så vidt som disse standardbestemmelser om databeskyttelse, henset til deres karakter, ikke kan give garantier, der rækker videre end en kontraktlig forpligtelse til at sikre, at det beskyttelsesniveau, der kræves efter EU-retten, er overholdt, kan der i forhold til disse, afhængigt af situationen i tredjelandet eller tredjelandene, være behov for, at den dataansvarlige vedtager supplerende foranstaltninger for at sikre, at dette beskyttelsesniveau er overholdt.

CNIL går så over til å diskutere kravet til «supplerende foranstaltninger». Tilsynets presentasjon av tematikken består nesten utelukkende av henvisninger til Personvernrådets retningslinjer om temaet (Guidelines 01/2020), som ble vedtatt sommeren 2021.

Tilsynet viser til at det kreves supplerende foranstaltninger dersom det er forhold på mottakerstatens side som kan sette virkningene av de kontraktsmessige garantiene i fare, og at dette er tilfellet i den foreliggende saken. I mangel av supplerende tiltak, må den behandlingsansvarlige stanse eller utsette overføringene, sier CNIL, under henvisning til avsnitt 75 i Personvernrådets retningslinjer:

Any supplementary measure may only be deemed effective in the meaning of the CJEU judgment “Schrems II” if and to the extent that it – by itself or in combination with others – addresses the specific deficiencies identified in your assessment of the situation in the third country as regards its laws and practices applicable to your transfer. If, ultimately, you cannot ensure an essentially equivalent level of protection, you must not transfer the personal data.

Deretter viser tilsynsmyndigheten til at det ifølge retningslinjene finnes tre kategorier av supplerende foranstaltninger eller tiltak, nemlig kontraktsmessige, organisatoriske eller tekniske tiltak.

Hva gjelder de kontraktsmessige tiltakene, viser CNIL til avsnitt 99 i retningslinjene, hvor Personvernrådet uttaler følgende:

Provided the nature of contractual measures, generally not capable of binding the authorities of that third country when they are not party to the contract, these measures may often need to be combined with other technical and organisational measures to provide the level of data protection required. Selecting and implementing one or several of these measures will not necessarily and systematically ensure that your transfer meets the essential equivalence standard that EU law requires.

I sin omtale av organisatoriske tiltak, viser CNIL til retningslinjene avsnitt 128:

Additional organisational measures may consist of internal policies, organisational methods, and standards controllers and processors could apply to themselves and impose on the importers of data in third countries. […] Selecting and implementing one or several of these measures will not necessarily and systematically ensure that your transfer meets the essential equivalence standard that EU law requires. Depending on the specific circumstances of the transfer and the assessment performed on the legislation of the third country, organisational measures are needed to complement contractual and/or technical measures, in order to ensure a level of protection of the personal data essentially equivalent to that guaranteed within the EEA.

Og til slutt i sin omtale av de supplerende foranstaltningene, gjengir den franske myndigheten retningslinjenes avsnitt 79:

The measures […] are intended to ensure that access to the transferred data by public authorities in third countries does not impinge on the effectiveness of the appropriate safeguards contained in the Article 46 GDPR transfer tools. These measures would be necessary to guarantee an essentially equivalent level of protection to that guaranteed in the EEA, even if the public authorities’ access complies with the law of the importer’s country, where, in practice, such access goes beyond what is necessary and proportionate in a democratic society.

I retningslinjene er det forklart at formålet med slike tiltak er å forhindre inngripende tilgang fra amerikanske myndigheter. Dette formålet kan, ifølge retningslinjene, oppnås ved å umuliggjøre identifisering av de registrerte, og å hindre at det kan utledes informasjon om dem via sammenstilling med andre datasett, som i sin tur kan inneholde nettidentifikatorer tildelt av enheter, applikasjoner, verktøy eller protokoller, som de registrerte bruker i andre sammenhenger.

101 Damnations? En (meta)analyse av den franske Google Analytics-saken
LOVKOMMENTAR: Forfatter Jørgen Skorstad er medforfatter av lovkommentaren til personopplysningsloven og GDPR.

Etter å ha redegjort for utgangspunktene for sine vurderinger, går CNIL over til å vurdere de konkrete supplerende tiltakene som Google har iverksatt. Det dreier seg om alle tre typene, det vil si en kombinasjon av kontraktsmessige, tekniske og organisatoriske tiltak. Ifølge det franske tilsynet, må det da vurderes hvorvidt de innførte tiltakene er effektive, det vil si om de er egnet til å kompensere for den muligheten til tilgang som den amerikanske etterretningen har i medhold av amerikansk lovgivning.

CNIL starter med å se på de juridiske og organisatoriske tiltakene. Myndigheten uttaler at hverken informasjon til de registrerte eller åpenhet omkring rutinene for håndtering av innsynskrav er egnet til å forhindre at myndighetene får tilgang til dataene. Det franske tilsynet understreker at selv om Google undersøker lovmessigheten av hvert enkelt krav fra de amerikanske etterretningsmyndighetene, så er ikke det nødvendigvis noe effektivt tiltak. Og selv om det dreier seg om krav som samsvarer med amerikansk lov, så er ikke det nok til å tilfredsstille de krav som stilles i det europeiske personvernregelverket.

Når det gjelder de tekniske tiltakene som er iverksatt, så dreier det seg om sikring av kommunikasjon mellom Googles ulike tjenester, beskyttelse av dataene i transitt mellom ulike datasentre og vern av kommunikasjonen mellom brukerne og tjenesten. CNIL uttaler kort at hverken Google LLC eller det franske selskapet har forklart hvordan disse tiltakene skal kunne forhindre eller redusere muligheten for tilgang for etterretningstjenesten i USA.

Google har også opplyst at personopplysninger som er lagret på deres datasentre, blir kryptert, og at denne krypteringen utgjør et supplerende tiltak. Til dette uttaler den franske tilsynsmyndigheten at Google LLC, i egenskap av dataimportør, er underlagt en rettslig plikt til å levere ut alle data det besitter til amerikanske myndigheter – inkludert de krypteringsnøklene som er nødvendige for å gjøre dataene forståelige eller lesbare. Med andre ord, så lenge Google kan få tilgang til disse dataene i klartekst vil ikke slike krypteringstiltak kunne regnes som effektive.

CNIL uttaler kort at hverken Google LLC eller det franske selskapet har forklart hvordan disse tiltakene skal kunne forhindre eller redusere muligheten for tilgang for etterretningstjenesten i USA.

Google har også anført at personopplysningene blir pseudonymisert, jf. personvernforordningen artikkel 4 nr. 5, idet den enkelte bruker tildeles en unik universell identifikator (UUID). CNIL understreker på sin side at slike UUID-er ikke tilfredsstiller vilkårene i definisjonen i artikkel 4 nr. 5. Pseudonymisering kan riktignok være et teknisk tiltak som kan bidra til å beskytte personvernet og privatlivets fred, men formålet med slike UUID-er er nettopp å individualisere internettbrukere. I tillegg innebærer bruken av UUID-er en mulighet for kobling av den unike identifikatoren og andre elementer, som metadata knyttet til nettleseren eller IP-adressen til brukerens hardware. Denne informasjonen vil det igjen være mulig å koble sammen med en Google-konto, eller en brukerkonto tilknyttet tjenesten til det franske selskapet. Dermed vil det være mulig å identifisere de ulike nettbrukerne.

I tillegg til dette er det mulig å anonymisere IP-adressene til brukerne. Denne funksjonen er imidlertid valgfri, og må aktiviseres av den enkelte behandlingsansvarlige som tar GA i bruk. CNIL peker her på at nettopp fordi det er et valgfritt tiltak, så kan det ikke anses som effektivt. Dessuten trekker det franske tilsynet frem at Google LLC ikke har gitt noe klart svar på om IP-adressene blir anonymisert før eller etter at de er overført til USA. Hvis IP-adressene blir anonymisert etter at de «lander» i USA, innebærer dette at IP-adressene potensielt kan aksesseres før de blir anonymisert, ifølge CNIL, og med andre ord vil anonymiseringen ikke være et effektivt tiltak. Også her antydet CNIL at det måtte være opp til selskapet, eller Google LLC, å komme med detaljene om hvordan den anførte anonymiseringen foregår.

Etter dette konkluderte CNIL med at ingen av tiltakene er effektive, i den forstand at ingen av dem er egnet til å forhindre amerikanske myndigheter i å få tilgang til de aktuelle personopplysningene, eller redusere effekten av slik tilgang. Overføring av personopplysninger på bakgrunn av artikkel 46 var dermed utelukket, etter det franske tilsynets vurdering.

4.4 Unntakene i personvernforordningen artikkel 49

CNIL gikk så over til å vurdere om noen av unntakene i artikkel 49 kunne komme til anvendelse i saken.

Det franske selskapet anførte for det første at overføring av personopplysninger ved hjelp av GA kunne baseres på den enkeltes samtykke, jf. artikkel 49 nr. 1 bokstav a. Begrunnelse var at det er mulig for brukerne av tjenesten å si nei til å bli sporet av Google. Selskapet kunne imidlertid ikke påvise at det ble innhentet noe gyldig samtykke i forkant av sporingen. Dessuten, påpekte det franske tilsynet, var det heller ikke gitt noen relevant informasjon til brukerne i forbindelse med den påståtte innhentingen av samtykke.

For det andre påberopte selskapet seg unntaket i artikkel 49 nr. 1 bokstav b. Bestemmelsen gjør det mulig å overføre personopplysninger som er nødvendige for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige. CNIL viste her til at denne anførselen ikke var understøttet av noen presis eller konkret argumentasjon, og ikke minst hadde ikke selskapet påvist at det eksisterer en slik kontraktsrettslig relasjon mellom selskapet og samtlige brukere av selskapets tjenester.

CNIL fant med andre ord – og dette var ikke uventet – at ingen av unntakene i artikkel 49 var anvendelige i denne saken.

CNIL fant med andre ord – og dette var ikke uventet – at ingen av unntakene i artikkel 49 var anvendelige i denne saken.

5. Konklusjon

Konklusjonen ble at ingen av instrumentene i forordningen kapittel V kunne benyttes som grunnlag for å overføre de aktuelle personopplysningene.

Konklusjonen ble at ingen av instrumentene i forordningen kapittel V kunne benyttes som grunnlag for å overføre de aktuelle personopplysningene, dvs. brukernes IP-adresser, metadata, osv., til Google LLC i USA. Forbudsbestemmelsen i artikkel 44 var dermed krenket.

Resultatet ble at CNIL beordret selskapet til å påvise at fremtidige overføringer kan skje i samsvar med artikkel 44, alternativt å stanse alle fremtidige overføringer. Selskapet ble bedt om å godtgjøre etterlevelse av regelverkets krav innen en måned. I motsatt fall ville det kunne komme til å bli aktuelt med strengere sanksjoner, herunder overtredelsesgebyr, varslet CNIL.

--

I skrivende stund har det imidlertid nettopp kommet nyheter om at en ny avtale mellom EU og USA kan nærme seg ferdigstillelse. Fredag den 25. mars kunne den amerikanske avisen Politico opplyse at president Joe Biden og EU-kommisjonens president Ursula von der Leyen samme dag hadde kommet med uttalelser om

an agreement in principle […] on a revamped deal to allow Europeans’ data to flow to the United States, after the EU’s top court had annulled the socalled Privacy Shield data pact in July 2020 because of fears over U.S. surveillance.

En slik avtale vil kunne løse utfordringene som er kjernen i denne saken – det vil si vanskelighetene med å oppfylle tilleggskravene i Schrems II-dommen.

Dette betyr imidlertid ikke at vi kan si farvel til Schrems II-doktrinen for godt. Den ovennevnte avtalen vil kun gjelde for dataoverføringer til USA. Med andre ord vil man kunne komme til å måtte vurdere de supplerende tiltakene ved overføring til andre tredjestater, som for eksempel Kina.

Vi kan ikke si farvel til Schrems II-doktrinen for godt.

Les mer om personvern på Juridika Innsikt

Grindr risikerer tidenes GDPR-gebyr

Har personvern overlevd koronakrise?

Personvern og det norske koronasertifikatet

Kan personvernet overleve koronakrisen?

Les mer om personvern på Juridika

Personopplysningsloven og personvernforordningen (GDPR). Kommentarutgave av Bergseng Skullerud, Rønnevik, Skorstad og Engh Pellerud

Personvernforordningen (GDPR). Kommentarutgave av Bergseng Skullerud, Rønnevik, Skorstad og Engh Pellerud

Personvern og ytringsfridom. Avveginga mellom kolliderande menneskerettar av Bjørnar Borvik

101 Damnations? En (meta)analyse av den franske Google Analytics-saken

Følg oss