GDPR-experten: ”Gult ljus för Google Analytics”
Fyra svenska bolag måste sluta använda Google Analytics. Integritetsskyddsmyndighetens beslut slog ned som en bomb i somras. Men rättsläget kring det amerikanska webbanalysverktyget är snårigt – och har redan tagit en ny vändning.
– Ta personuppgiftsskyddet på allvar. Det har inte gått från rött ljus för Google Analytics till grönt, säger Sveriges Tidskrifters GDPR-expert Caroline Olstedt Carlström.
För att fortsätta analogin med trafikljusen så är det snarare just nu ”gult ljus för Google Analytics”, enligt henne.
– Det är fortfarande lite tveksamt om man verkligen kan uppfylla alla dataskyddskrav om man använder Google Analytics. Det gäller att göra sin läxa, se över interna processer, extern information och dokumentation och göra riskanalyser.
Det var i slutet av juni som Integritetsskyddsmyndigheten (IMY) fattade fyra dramatiska beslut mot Tele2, CDON, Dagens Industri och Coop. IMY slog fast att bolagen inte tillräckligt väl har skyddat personuppgifter när de använt sig av Google Analytics för sin webbtrafikanalys.
IMY beslutade att ålägga två av bolagen, Tele2 och CDON, en sanktionsavgift för överträdelserna av dataskyddsförordningen GDPR. Summan: 12 miljoner kronor för Tele2 och 300 000 kronor för CDON.
Tele2 hade på eget initiativ slutat använda Google Analytics redan innan beslutet fattades. IMY uppmanade nu även CDON, Dagens Industri och Coop att slopa GA.
IMY:s beslut är vägledande för andra organisationer och det kan tyckas självklart att Google Analytics inte är lämpligt för publicister – men det är inte riktigt så enkelt.
IMY:s beslut avser nämligen en version av Google Analytics från 14 augusti 2020.
– Den nya versionen, Google Analytics 4, ger fler möjligheter att jobba aktivt med dataskydd än tidigare versioner, men verktyget ställer också högre krav på att man själv beaktar dataskyddet när man ställer upp sina analyser. Det här är inte jätteenkelt för små bolag som saknar tekniker och jurister, kommenterar Caroline Olstedt Carlström.
Bara ett par dagar efter IMY:s beslut ritade därtill ett nytt ramverk om den juridiska kartan för transatlantiska överföringar av personuppgifter. EU-kommissionen har beslutat att digitala överföringar från EU-land till organisationer i USA som är certifierade i enlighet med ramverket DPF (EU-US Data Privacy Framework) faktiskt har ett adekvat personuppgiftsskydd.
– Det finns alltså ett lagligt sätt i dag att göra en överföring till en amerikansk mottagare som har en DPF-certifiering. Men vad skulle hända om vi får en ny domstolsprövning i EU som ogiltigförklarar DPF?
Ja, det skulle kunna hända. EU-domen Shrems II ogiltigförklarade 2020 det tidigare ramverket mellan USA och EU, det så kallade Privacy Shield. Det tidigare ramverket ansågs inte tillräckligt för att skydda EU-medborgares personuppgifter från bland annat amerikansk massövervakning och underrättelsetjänst.
Finns det nu en garanti för att amerikansk underrättelsetjänst inte kan komma åt personuppgifter som hanteras eller förvaras av amerikanska bolag och dotterbolag?
– Diplomatiskt kan man säga att EU-kommissionen har nöjdförklarat sig på den punkten. Många menar att ramverket inte kommer att hålla vid en prövning i EU-domstolen, men till dess är det lagligt att tillämpa DPF.
Text: Matilda Nilsson
Foto: Getty Images och pressbild
GDPR-experten Caroline Olstedt Carlströms råd till publicister
1. Ta dataskyddsfrågorna på allvar.
2. Gör det interna arbetet på företaget. Säkerställ att det finns information, dokumentation, riskanalyser och interna processer för att följa dataskyddsförordningen GDPR.
3. Se över hur ni använder till exempel profilerad information och cookies. Följer er direktmarknadsföring lagstiftningen? Tänk på att det inte bara gäller att följa GDPR, utan att även kraven i marknadsföringslagen och lagen om elektronisk information behöver beaktas.
4. Informera publiken om hur eventuella personuppgifter används. Finns korrekt cookiebanner och samtyckesformulär?
5. Se över befintliga avtal med amerikanska företag. Uppdatera eventuella avtal med företag som är DPF-certifierade och säkerställ att de följer det nya regelverket. USA:s handelsdepartement listar på sin sajt vilka företag som är certifierade. På listan finns bland annat techjättarna Google och Meta. Det går även att använda så kallade standardavtal för överföringar till USA men då krävs eventuellt även ytterligare bedömning och säkerhetsåtgärder.
6. Ha en ”exit plan”. Vad händer om de nya mekanismerna för överföringar till USA utmanas i domstol? Ha en exitstrategi så att ditt företag snabbt kan till exempel byta leverantör om det behövs.
Tidslinje för GDPR och Google Analytics
2018: EU:s dataskyddsförordning GDPR införs i Sverige. Företag som inte tillräckligt väl skyddar personuppgifter riskerar höga böter.
2020: EU-domstolen slår i juli i det så kallade Shrems II-målet fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Två månader senare lämnar ideella organisationen NOYB in 101 klagomål mot sajtägare i Europa som använder sig av Google Analytics eller Facebook Connect.
2023: Integritetsskyddsmyndigheten (IMY) fattar beslut i de fyra klagomål från NOYB som rör svenska företag. Två företag åläggs sanktionsavgifter och alla fyra uppmanas att sluta använda GA.
Senare samma sommar godkänner EU-kommissionen det nya ramavtalet för transatlantiska överföringar DPF (EU-US Data Privacy Framework), vilket på nytt öppnar möjligheter för svenska företag att använda sig av amerikanska tjänster för till exempel webbanalys och nyhetsbrev.
Frågan är bara hur länge DPF-ramverket håller? NOYB har redan uppgett att de planerar ett Shrems III-mål, de vill att också DPF ska prövas i EU-domstolen.
Google slutar samla data i den tidigare versionen av Google Analytics och rekommenderar sina användare att i stället använda det nya statistik- och analysverktyget Google Analytics 4, som skiljer sig från tidigare versioner.
Som medlem i Sveriges Tidskrifter kan du utan kostnad ta kontakt med Caroline Olstedt Carlström om du har frågor gällande GDPR.