Er Google Analytics ulovlig i Danmark?
I sidste halvår af 2012 cirkulerede der en del historier i pressen, som alle var præget af dårlig research. Lige fra historien om, at Google Analytics måske er ulovligt, til en artikel i JP om, at cookies er "små IT-programmer". Se en god opsummering hos IIH Nordic.
Den slags får jeg virkelig knopper af, så jeg satte mig for noget tid siden ned og researchede (læs: Googlede) på, hvad der egentligt er lovligt. Denne artikel er en opsummering af hvad jeg fik gravet frem.
Og så den sædvanlige disclaimer: Jeg er ikke jurist eller jurauddannet, så jeg kan sagtens være helt forkert på den. Det jeg skriver, er hvad jeg var istand til at Google mig frem til på en 3-4 timer. Jeg opfordrer dig til at drage dine egne konklusioner også.
Hvad er en IP-adresse
Alt udstyr, der er koblet på internettet, har en såkaldt IP-adresse. Det er lige fra din bærbare PC, til din mobiltelefon, tablet, eller cola automaten med indbygget webcam. Man kan lidt sammenligne det med et telefonnummer, og det er dette "nummer" alle maskinerne på nettet bruger til at kommunikere med hinanden.
Hvad er en cookie
Nej JP, en cookie er ikke "et lille IT-program". Det er en ganske simpel tekstfil på din computer, hvor et website kan gemme lidt informationer til næste gang, du besøger sitet. Tit og ofte er der gemt et unikt ID på dig, som er et tilfældigt genereret nummer, websitet kan slå dig op på.
Personoplysninger i følge persondataloven
Rent teknisk kan en IP-adresse ikke nødvendigvis bruges til at identificere en specifik person, ihvert fald ikke uden at du går til de forskellige internetudbydere med en dommerkendelse. Det samme gælder de fleste tracking cookies, der som nævnt bare indeholder et tilfældigt nummer.
I resten af denne artikel vil jeg derfor behandle cookies og IP-adresser som værende det samme. Og i første omgang helt holde cookie-lovgivningen ude af billedet.
Så hvad er problemet?
Lad os lige starte med at få påhæftet de korrekte labels på sådanne informationer. Datatilsynet arbejder med disse to kategorier (se punkt 6):
- Personoplysninger
Så som dit navn og adresse. Oplysninger, der for de flestes vedkommende, er offentligt tilgængelige. - Følsomme personoplysninger
Så som CPR-nummer og bankkontonummer. Oplysninger, der kræver særskilt tilladelse at registrere og gemme.
Der er således ikke noget, der hedder "personlige oplysninger", hvilket er den betegnelse de fleste dårligt researchede artikler har brugt. Det er ihvert fald ikke en betegnelse der kan bruges, når man vil vurdere om Google Analytics er lovlig eller ej.
Det store spørgsmål er så, hvilken af disse to kategorier IP-adresser og cookies falder ind under. Eller om det bare er "tilfældige, anonyme informationer", som ikke falder ind under persondataloven.
Her bliver det tricky. Det danske Datatilsyn har ikke rigtigt taget stilling til dette endnu. Men graver man dybt i EU-lovgivningen, dukker følgende fodnote op på side 10 i en PDF-fil:
"I sin udtalelse nr. 1/2008 om
databeskyttelsesproblemer i forbindelse med søgemaskiner, som blev
vedtaget den 4. april 2008, bekræfter Artikel 29-Gruppen, at
cookies og IP-adresser i de fleste tilfælde skal
betragtes
som personoplysninger."
Udtalelse nr. 2/2010 om adfærdsbaseret annoncering
på internettet
Jeg vil ikke lige citere de mere tekniske detaljer, men i korte træk anerkendes det, at en IP-adresse i sig selv ikke er en personoplysning. Men når man begynder at registrere flere "hits" fra den samme IP-adresse, så kan man langsomt opbygge en personprofil, der i ekstreme tilfælde kan identificere unikke personer.
Derfor betragter EU en IP-adresse som en personoplysning, på højde med dit navn og din adresse. Og i flere tilfælde er jeg faldet over, at cookies vurderes på samme måde.
Find sølvpapirshatten frem
At et website i sig selv registrerer personoplysninger er ikke noget problem. Men når disse oplysninger udleveres til en 3. part uden brugerens viden, så begynder det at blive problematisk.
Persondataloven siger, at personoplysninger ikke må udleveres til 3. land uden personens godkendelse. Et "3. land" defineres her, som et land uden for EU, og dette falder Google Analytics under, da Google hører hjemme i USA.
Set med de øjne, så er Google Analytics faktisk ulovligt.
Problemet er så bare, at i kraft af "Safe Harbor"-ordningen anno 2012, er USA i praksis nu også betragtet som et ikke-tredjeland. Og derved må et dansk website godt "udlevere" personoplysninger til et amerikansk firma, uden at orientere brugeren om det.
Så nej, Google Analytics er ikke ulovligt. Men derfor kan du godt finde sølvpapirshatten frem alligevel, og få paranoia over at disse oplysninger kvit & frit må udleveres til USA, hvor vi på ingen måde har kontrol over om de bliver misbrugt!
Hvad byder fremtiden på?
Endnu værre bliver det, når den nye Google Analytics kaldet Universal Analytics bliver rullet ud i 2013. Her vil oplysningerne ikke længere blive gemt i cookies på brugerens lokale PC, men blive registreret server-side hos Google. Og ikke nok med det, oplysningerne vil også kunne kædes endnu tættere sammen med virksomhedernes egne CRM-oplysninger, uden at brugeren bliver informeret om hvad der samkøres af oplysninger.
Har du ikke allerede sølvpapirshatten fremme nu, så kan du godt gå i gang med at støve den af.
Godt nok vil Universal Analytics give os nogle helt unikke og fantastiske muligheder for at analysere på brugernes adfærd og hvad vores online marketingbudget bliver brugt på, men det indeholder også nogle vilde privacy issues, som ingen rigtigt har taget stilling til endnu.
Hvad så med cookie loven?
Den frygtede og berygtede cookie lov specificerer, at alle EU websites skal oplyse om hvilke cookies de sætter på brugerens PC, og give mulighed for brugeren for at fravælge disse.
Men problemet her er, at det er op til selve websitet at gøre dette. Det er således ikke Google's problem, hvis dit website ikke følger cookie loven.
I England har de i skrivende stund oven i købet opgivet at implementere loven til fulde, og går efter at man bare skal informere om hvilke cookies et website sætter, og hvad oplysningerne i dem bruges til. Noget du i princippet bør gøre uanset hvad loven siger. Der er dog ingen rygter (endnu), om vi vil se en lignende opblødning af loven i Danmark, eller om England får lov af EU til deres holdning.
Konklusion
Som jeg nævner i disclaimeren i starten, så er jeg på ingen måder jurist på området. Jeg vil endda ikke engang kalde mig selv ekspert.
Men ingen steder har jeg kunnet grave noget frem, der indikerer at Google Analytics skulle være ulovligt at bruge. Altså, så længe du ikke tager cookie loven seriøst, men det er en anden historie.
Så nej, spørger du mig, så er Google Analytics er ikke ulovlig i Danmark!
UPDATE: Sjovt, netop som jeg trykkede publish til denne blog post kom det frem, at Norge nu er kommet frem til konklusionen, at Google Analytics ikke er ulovligt hos dem.