Er de gale i Luxembourg?

Nedenstående artikel af Carey Lening giver et virkelig interessant perspektiv på Schrems II-dommen og ikke mindst de seneste afgørelser vedr. brug af Google Analytics og Fonts i fx Frankrig, Østrig og Tyskland.

https://www.grcworldforums.com/legal-and-regulation/regulators-are-playing-a-dangerous-game-on-the-internet/4040.article

Artiklens grundpræmis er at EU-domstolen (og de nationale datatilsyn) er fundamentalistiske (‘privacy-absolutist’) i deres tilgang, når man i de fremhævede eksempler ikke anlægger en risikobaseret tilgang i sin vurdering af, hvorvidt en IP-adresse er persondata. Og at denne fundamentalisme risikerer at undergrave fragmentere internettet som vi kender det, mens man i praksis ikke lever op til sit erklærede formål om at beskytte menneskers ret til privatliv.

Selve argumentet om, at domstole og tilsyn burde anlægge en risikobaseret tilgang til spørgsmålet om hvorvidt noget er persondata, forekommer at være lidt vinkelret på GDPR. Forordningen instruerer godt nok de dataansvarlige om at agere risikobaseret, men det er så vidt jeg kan se ift. at vurdere risikoen for de registrerede og vurderingen af foranstaltninger. Ikke ift. selve definitionen af persondata.

Men selv hvis man går ind på præmissen, at det er rimeligt at anlægge et risikobaseret perspektiv på hvorvidt noget er persondata, så har jeg altså svært ved at se, hvordan en IP-adresse sendt til Google kan betragtes som anonym og ikke-personhenførbar.

De fleste almindelige internetbrugere skifter sjældent deres eksterne IP-adresse (måske hver 14. dag eller deromkring?), så hvis et dansk website, som jeg besøger, sender min IP-adresse til Google (fordi de har implementeret Google Analytics, men selvom jeg har frabedt mig cookies og anden tracking) vil det da ikke undre, at Google i praksis udleder, at jeg er den samme, der tidligere på dagen har anvendt en af deres andre tjenester eller besøgt et andet site – hvor cookies måske ikke blev slået fra.

Når det er sagt, så er artiklens bekymring over hvor denne tilsynspraksis fører os hen, dvs. hvordan europæiske virksomheder i praksis skal fungere på et gennem-amerikaniseret internet uden at bryde reglerne, reel nok. I min ydmyge optik ligger løsningen dog hverken hos de nationale tilsyn eller EU-domstolen i Luxembourg, men hos lovgiverne i Bruxelles – og/eller hos de private virksomheder, herunder de amerikanske internetgiganter, med hvem vi naturligvis deler en enorm interesse i at finde kreative løsninger af problemet.

Helst i en fart.

Nu bliver det (måske) alvor

Nu virker det til, at konsekvenserne af SchremsII-afgørelsen begynder at gå op for myndigheder og virksomheder over hele Europa.

https://www.version2.dk/artikel/eksperterne-enige-ny-fransk-afgoerelse-klemmer-livet-ud-analytics-danmark-1094220

Et de facto forbud mod at anvende Google Analytics kan lynhurtigt brede sig til at omfatte de mange andre, tilsvarende konstruerede tjenester fra de dominerende amerikanske leverandører – hvorfor skulle det være anderledes med Googles andre tjenester? Eller Facebooks? Eller de store databroker-netværk?

Det danske datatilsyn lurepasser, som det fremgår, men for danske virksomheder er det ikke desto mindre ved at være sidste udkald ift. at indlede en kortlægning af brugen af denne type tjenester (hvilket lyder simpelt, men som i praksis er ganske ressourcekrævende, i hvert fald for større virksomheder med en lang historik og en spraglet internettilstedeværelse), opdateret (eller endelig få lavet) de nødvendige risikovurderinger og evt. lagt planer for at finde alternativer – hvis det overhovedet viser sig muligt.

For når først Datatilsynet (og Erhvervsstyrelsen, ift. fx telebranchen) vågner op til dåd og som forventet følger udmeldingerne fra Frankrig og Østrig, giver de nok ikke danske virksomheder meget tid til at få rettet ind.

Omelet uden brudte æg?

Denne tekniske analyse af dataflowet bag EUs officielle websites viser, hvad der efterhånden burde være indlysende: Det er meget svært at lave et moderne website uden at data om besøgende på den ene eller anden måde overføres til USA, i skikkelse af Google, Amazon, Microsoft, Facebook, Akamai, etc. etc.

https://www.linkedin.com/posts/brs-dincer_analysis-of-eu-official-sites-ugcPost-6898291743414992896-XL3y

Dette gælder uanset om ejeren er sitet er det EU, der har vedtaget, at USA ikke er et sikkert tredjeland, og som har skabt grundlag for, at der lige pt. uddeles bøder for brug af Google Analytics og Google Fonts i Østrig og Frankrig.

Cookien er død! Tracking længe leve!

I anledning af den internationale Data Privacy Day kan man kaste et blik på dette interessante indlæg vedr. Googles bevægelse væk fra traditionelle cookies mod “FLoC” eller “Topics”. Bliver vi som datasubjekter dermed bedre beskyttet fordi data aggregeres, eller mister vi tværtimod den sidste rest af indsigt og indflydelse?

https://www.linkedin.com/posts/brs-dincer_floc-topics-google-activity-6892523079075979264-oajY/