GDPR med Google Analytics. Skal du have en privatlivspolitik?

Mange virksomheder bruger Google Analytics til at forstå, hvordan besøgende interagerer med deres hjemmeside. Værktøjet giver indsigt i trafik, brugeradfærd og effekten af markedsføringstiltag. Når Google Analytics anvendes, behandles der dog personoplysninger, og derfor er det underlagt både GDPR og ePrivacy-reglerne.

Ved brug af Google Analytics indsamles oplysninger som IP-adresse (ofte anonymiseret), browser, enhedstype, operativsystem, henvisende sider, besøgte undersider og varigheden af besøget. Selvom disse data ofte bruges i aggregeret form, kan de stadig udgøre personoplysninger, da de i kombination kan knyttes til en identificerbar person.

Roller og ansvar

Der er to centrale roller, når Google Analytics anvendes. Virksomheden, som ejer hjemmesiden, er dataansvarlig, hvilket betyder, at virksomheden bestemmer formålet med behandlingen og har ansvaret for, at data behandles lovligt, sikkert og gennemsigtigt. Google fungerer som databehandler og behandler oplysninger på vegne af virksomheden, hvilket forudsætter, at der er indgået en gyldig databehandleraftale. Se mere hos Google her: Google Analytics Data Processing Terms.

GDPR, Google Analytics og Privatpolitik, hjemmeside GDPR Compliance

Behandlingsgrundlag og samtykke

For at brugen af Google Analytics er lovlig, skal virksomheden kunne dokumentere et gyldigt behandlingsgrundlag. Dette er typisk samtykke, da statistikcookies ikke er strengt nødvendige for hjemmesidens funktion. Samtykket skal være frivilligt, informeret og utvetydigt. Det betyder, at data først må indsamles, når brugeren har givet aktivt samtykke. Du kan læse mere hos Datatilsynet: Datatilsynet – Cookies og samtykke.

Cookies og teknisk implementering

En korrekt implementeret cookie-løsning er afgørende. Brugeren skal tydeligt informeres om, hvilke cookies der anvendes, til hvilke formål og hvem der modtager oplysningerne. Det skal være lige så nemt at afvise som at acceptere, og brugeren skal altid kunne ændre eller trække sit samtykke tilbage. Hvis samtykket trækkes tilbage, skal dataindsamlingen stoppes. Se mere om cookie-compliance her: ePrivacy og GDPR – European Commission.

Privatlivspolitik

Hjemmesiden skal have en opdateret privatlivspolitik, der beskriver hvilke oplysninger der indsamles via Google Analytics, formålet med behandlingen, det juridiske grundlag, opbevaringsperioden samt brugerens rettigheder, herunder indsigt, sletning og indsigelse. Det skal også fremgå, at oplysningerne deles med Google, og om data overføres til tredjelande uden for EU/EØS, samt hvilke garantier der er for dette.

Overførsel af data til tredjelande

Hvis oplysninger overføres til tredjelande, fx USA, skal der være et gyldigt overførselsgrundlag. Dette kan være gennem EU-Kommissionens afgørelser eller standardkontraktbestemmelser, og virksomheden skal kunne dokumentere dette. Læs mere her: EU Standard Contractual Clauses.

Google Analytics i praksis

GDPR forbyder ikke brugen af Google Analytics, men stiller krav til, hvordan værktøjet må anvendes. Når samtykke håndteres korrekt, privatlivspolitikken er fyldestgørende, og de tekniske indstillinger er optimeret med fokus på dataminimering og gennemsigtighed, kan Google Analytics fortsat bruges som et lovligt og værdifuldt analyseværktøj.