Google Analytics och andra externa webbplatsverktyg utmanas rättsligt

Författare:

|

Datum:

|

Den 22 december 2021 fattade den österrikiska dataskyddsmyndigheten ett tillsynsbeslut om Google Analytics. Beslutet fick stor uppmärksamhet den 13 januari 2022 efter att det publicerats av den ideella organisationen Noyb (None of your business). I beslutet drog den österrikiska dataskyddsmyndigheten slutsatsen att en österrikisk webbplats bröt mot dataskyddsförordningen GDPR genom att använda Google Analytics.

Advokatfirman Covington har skrivit en kort sammanfattning av den österrikiska dataskyddsmyndighetens bedömning att Googles standardavtalsklausuler och kompletterande åtgärder var otillräckliga. Så länge Google trots kryptering med mera kunde få tillgång till online-identifierare (indirekta personuppgifter) i klartext var de kompletterande åtgärderna inte effektiva enligt GDPR.

Den norska dataskyddsmyndigheten, Datatilsynet har varnat webbplatsägare för att det kan vara olagligt att använda Google Analytics (och många andra webbplatsverktyg). I många fall kan användarens IP-adress fortfarande komma kopplas till dennes konto via cookies.

– Många verktyg kan vara olagliga att använda, och då måste webbplatserna ta bort dem omedelbart. I allvarliga fall finns det risk för sanktioner från Datatilsynet, och eftersom det är så mycket uppmärksamhet kring dessa frågor nu förväntar vi oss att få fler klagomål, säger Tobias Judin, chef för Datatilsynets internationella sektion.

Som Tech Crunch rapporterar kritiserade Europeiska datatillsynsmannen Europaparlamentet i början av januari 2022. Datatillsynsmannen kritiserade parlamentets webbsida för bokning av Covid 19-tester. Sidan innehöll kod som integrerade Stripe (en betaltjänstleverantör) och Google Analytics, som alla överförde data till USA utan tillräckliga skyddsåtgärder. Anmärkningsvärt nog integrerades Stripe trots att webbplatsen inte krävde betalning för att boka tester. Stripe hade lagts till av en extern leverantör som hade kopierat koden från en testsida.

Även externa teckensnitt och nätverk för innehållsleverans ifrågasätts.

I ett nyligen publicerat fall från Tyskland framgår det att analysverktyg och betalningstjänster inte är de enda typer av externa webbresurser som kan komma ifrågasättas rättsligt.

The Register rapporterar att en domstol i München har beslutat att en webbplatsägare måste betala 100 euro i skadestånd till en besökare på en webbplats. Webbplatsen tvingade besökarens webbläsare att ladda ner typsnitt från Googles servrar för att kunna visa sidan.

Det är vanligt att webbplatser avsiktligt utformas så att delar av innehållet tillhandahålls av externa parter. En webbplats kan använda sig av kantmoln eller innehållsleveransnätverk för att webbplatsen ska laddas snabbare eller för att minska belastningen på webbservern. Ett exempel på detta är användningen av Vimeo eller liknande nätverk för att leverera videoinnehåll.

Vidare rapporterar The Register att denna webbplats använde Google Fonts, ett externt bibliotek med typsnitt som levererades via Googles nätverk för innehållsleverans. När någon besökte webbplatsen laddade webbläsaren ner typsnitten från Googles servrar, som registrerade besökarens IP-adress.

The Register nämner att omkring 50 miljoner webbplatser världen över använder Google Fonts som levereras via Googles innehållsnätverk. I artikeln konstateras att domstolen i München ansåg att denna praxis är oacceptabel enligt tysk lag och GDPR, eftersom typsnitten i Google Fonts biblioteket också kan levereras direkt av webbservern.

Dessa beslut visar att användningen av externa element/funktioner måste övervägas noga. Det kan också vara överraskande för många, när man ser hur många webbplatsverktyg, utöver externa analysverktyg och betalningsförmedlare, som faktiskt samlar in och överför personuppgifter.

Det kan vara bra att känna till att många WordPressteman är förinställda på att använda Google Fonts som servas från Googles servrar. En hemsideadministratör som infogar en karta eller CAPTCHA från Google eller en annan leverantör kan också behöva undersöka om det leder till att personuppgifter delas med leverantören.

Länkar:

Datatilsynet nyhet från 26 januari 2022

Advokatfirman Covingtons blogginlägg den 14 januari 2022

Tech Crunchs artikel 10 januari 2022

Artikel från The Register 31 januari 2022.

Google Maps FAQ