Analytics er lovligt igen, når vi lige har styr på…

Der er nu indgået aftale imellem EU-Kommissionen og USA om overførsel af personoplysninger fra EU til USA, så Google Analytics er igen lovligt. Men Datastyrelsen har netop fremlagt, at de endnu ikke har taget stilling til lovligheden af hverken Analytics eller Facebook pixel. Dette antager de fleste dog, nu hvor det er blevet tilladt at sende persondata data til USA til behandling igen.

I Datastyrelsens opslag tydeliggør de, at en lovlig Google Analytics og Facebook pixel ikke kun kræver, at vi må sende europæisk persondata til USA til behandling, men også at der er en lang række andre forhold som skal være overholdt, inden man er dækket af en lovlig Analytics installation.

Læs Datastyrelsens opslag her >> Brug af Google Analytics kræver ikke kun lovlige overførsler til USA

Et står dog klart efter aftalen – vi kan nu med ro i sindet aktivere Google Analytics og Facebook pixel, og sende data afsted til behandling til brug i både rapporter og målgrupper i Facebook og Google Ads.

Læs om aftalen her >> EU-Kommissionen vedtager tilstrækkelighedsafgørelse vedrørende USA

“Vi kan nu med ro i sindet aktivere Google Analytics og Facebook pixel”

Samtykke på en hjemmeside foregår typisk gennem et cookie banner, hvor man informerer besøgende om hvilke cookies der benyttes og hvorfor samt hvem der ellers læser med. Her enten accepterer eller afviser brugeren, om der må sættes f.eks. en Google Analytics cookie, som gør at vi kan genkende brugeren ved tilbagevendende besøg.

Her er det vigtigt, at man selvfølgelig overholder brugerens samtykke valg og undlader at sætte en cookie, hvis brugeren ikke accepterer det.

Dette kan gøres med samtykketilstand (consent mode) eller helt lade være med at kører Analytics af, hvis brugeren ikke har samtykket, metoden er ligegyldigt bare man overholder samtykket og kan dokumentere det, hvis Datastyrelsen skulle forlange det.

Samtykketilstand er en metode til at informere Analytics og Google Ads om, at brugeren har givet samtykke til at sætte Analytics og Ads cookies. Besøget bliver sporet, men der bliver altså ikke sat nogle cookies, før brugeren har givet samtykke.

Læs mere om online samtykke her >> Samtykketilstand på websites og i mobilapps

Hvis man i Google Analytics benytter sig af Google Signals til at identificere brugere (udover cookies), så skal brugeren informeres enten gennem cookie consent banneret eller hjemmesidens persondatapolitik. Hvis man skriver direkte i sin persondatapolitik, at man ikke benytter 3. parts programmer til at identificere brugere, men alligevel har aktiveret Google Signals, vil det ikke være lovligt og man får derfor et problem med Datastyrelsen.

Hvis man vil undersøge ens databehandleraftale i forhold til Google Analytics, er det ret ligetil. Den kan findes inde i Google Analytics konto, under Administrator -> kontoindstillinger.

Her kan man indgå databehandleraftalen med Google Analytics og indtaste kontaktinformationer på de pågældende personer, der har ansvaret for databehandleraftalen i virksomheden. På den måde er Google Analytics informeret og kan reagere, hvis de ønsker at komme i kontakt med kontoejeren.

Her er det vigtigt, at de involverede parter er orienteret omkring databehandleraftalen, og at den er accepteret af enten kontoejeren selv eller det bureau, som virksomheden benytter sig af og derfor har ansvaret for dette område.

Til sidst er det vigtigt, at man har styr på, og kan dokumentere de sporingsværkstøjer, man benytter på hjemmesiden. Herunder hvilke oplysninger der bliver indsamlet til hvilke platforme,
og hvad de bruges til.

Datastyrelsen præciserer eftertrykkeligt lige netop dette i deres vejledning af Cloud. Det kan findes og fremgår både i afsnittet “Kend dine services” og afsnittet “Kend dine leverandører”.

Læs mere om Cloud her >> Vejledning om Cloud

Det vigtige i disse to afsnit, i forhold til websporing er, at man kender og har dokumenteret hvilke sporingsplatforme, man benytter på hjemmesiden. Det er vigtigt, at man overfor Datastyrelsen kan dokumentere hvilke sporingsplatforme man benytter, og at den pågældende information er opdateret.

Det går altså ikke at sende dokumentation af sted, hvor man har glemt at nævne Facebook pixel, når Datastyrelsen nemt kan kontrollere, hvilke sporingskoder der bliver kørt af på hjemmesiden. Dertil er det som nævnt også vigtigt, at man kender og har dokumenteret hvilke informationer sporingskoderne opfanger og sender videre samt om de er krypteret eller ej.

Så hvis man opfanger salg på hjemmesiden, sender man så kundens e-mail eller telefonnummer videre. Hvilke platforme får denne information og er de personinformationer krypteret eller ej.

Det er altså lovligt at sende denne slags informationer videre, så længe det er dokumenteret at man gør det og at brugeren er informeret herom. Eksempelvis via den persondatapolitik der fremgår på hjemmesiden.

I forhold til at dokumentere hvad der bliver kørt af hvor og hvorfor, kan man med fordel samle sine sporingskoder i for eksempel Tag manager, så man har et sted, hvor man har overblik over hvilke sporingskoder der er aktive, hvad de sporer og hvor data bliver sendt hen.

Benytter man sig af moduler og har indsat sporingskoder manuelt, vil der være lidt ekstra arbejde ift. at dokumentere hvad de sporer, og et fremadrettet arbejde i at holde dokumentationen opdateret.

Nu er der en oplagt chance for at få opdateret sin sporing, så den står knivskarpt i forhold til ens forretningsmål. Det er måske nu at man burde gå sin persondatapolitik-side igennem og tjekke om den stadig indeholder de rigtige oplysninger til brugerne.

Når man nu er i gang, burde man måske også fjerne de Google Ads tag, som man ikke har benyttet i årevis, men som stadig fremgår inde i ens Tag Manager.

Så har man styr på sin sporing og de lovmæssige retningslinjer herom, ja så kan man trygt spore videre på sin hjemmeside.