Kan användandet av Google Analytics anses vara olagligt inom den Inre Marknaden ?
mars 22, 2022Enligt beslut från både Österrikes och Frankrikes motsvarighet till Integritetsskyddsmyndigheten (IMY) bryter användningen av Google Analytics mot GDPR. Vad innebär det för Giva Sveriges medlemmar som använder Google Analytics?
Bakgrund
Under 2021 skickade NOYB (None Of Your Business) med Maximilan Schrems i ledningen in totalt 101 anmälningar till dataskyddsmyndigheterna i alla 30 länder inom den Inre Marknaden med syftet att förmå dem att pröva om användandet av Google Analytics, i ljuset av den s.k. Schrems II domen, bryter mot GDPR.
I Schrems II domen slog EU-domstolen fast att Privacy Shield-avtalet inte uppnådde kraven för skydd för personuppgifter enligt GDPR. Det främsta skälet till underkännandet är att de federala övervakningslagarna i USA ger amerikanska myndigheter och regeringen tillgång till data hos privata aktörer utan ge någon inblick eller transparens gällande vilken information som förmedlats vidare, om den förmedlas vidare och i vilka syften den kommer att behandlas. I praktiken innebar det att större tech-företag uppdaterade sina avtal med standardklausuler som EU-kommissionen tagit fram för att täcka upp för bristerna. (Standardklausulerna uppdaterades den 4 juni 2021, men det är tillåtet att använda den tidigare versionen av klausulerna fram till den 27 december 2022.)
Besluten
Österrikes dataskyddmyndighet Datenschutzbehörd (DSB) publicerade i januari 2022 sitt beslut att en kontinuerlig användning av verktyget Google Analytics på en österrikisk webbplats inte uppfyllde den skyddsnivå som krävs enligt artikel 44 GDPR.
I februari 2022 beslutade den franska motsvarigheten Commission Nationale de l’Informatique et des Libertés (CNIL) att även franska webbplatser som använder sig av Google Analytics bryter mot GDPR på liknande sätt.
Ägarna till webbplatserna som använder sig av Google Analytics anses av både DSB och CNIL vara ansvariga för lagbrotten, men det är ännu oklart vilka de egentliga påföljderna kommer att bli i de olika fallen.
Myndigheterna har meddelat att man kommer att granska Google Analytics närmare och komma med ett separat beslut gällande verktyget. Det mest troliga är att detta beslut kommer att vara koordinerat med den Europeiska dataskyddsstyrelsen (EDPB).
Det finns enligt DSB, som bedömde användningen utifrån de gamla standardklausulerna som webbplatsägaren hade signerat med Google LLC (dvs. Google i USA), två anledningar till varför Google Analytics och de standardklausuler som reglerar dataskydd inte anses uppfylla kraven på skyddsnivån för dataskydd. För det första är Google föremål för övervakning av amerikanska underrättelsetjänster. För det andra är de åtgärder som vidtagits utöver de gamla standardklausulerna inte effektiva nog att undanröja möjligheterna till övervakning och åtkomst för amerikanska underrättelsetjänster.
Enligt CNILs beslut, som är väldigt likt DSBs med liknande bedömningsgrunder, anser man att även om datan överförs i krypterad form så finns nyckeln hos Google LLC – vilket möjliggör för myndigheter i USA att ta del av dem. Vidare så anser CNIL att den anonymisering som genomförs vid/efter överföringen av datan till Google LLC inte är anonym då man även skickar med ett spårnings-ID (ett unikt sessionsnummer), vilket gör att data endast är pseudonymiserad då genom spårnings-IDet går att spåra till användarens enhet.
Än så länge har IMY inte publicerat ett beslut i frågan, men då DSBs och CNILs beslut är en del av en mer eller mindre EDPB koordinerad aktion för att kunna svara på NYOBs alla anmälningar, är det därför troligtvis bara en tidsfråga tills vi får ett liknande beslut i Sverige som påverkar svenska organisationer.
Ska vi inom insamlingsbranschen sluta använda oss av Google Analytics nu?Nja, mitt råd är att du bör över användningen av Google Analytics och se om det finna alternativa lösningar som är baserade inom den Inre Marknaden som du kan använda istället.
Men om du redan använder dig av Google Analytics så kan du börja med att göra följande:
- Se till att spårning sker först efter att du har sett till att den registrerade har:
-
- informerats om att dennes data kommer att överföras till Google i USA, där den kan bli föremål för lokal laglig åtkomst och att de när som helst kan dra tillbaka sitt samtycke, och
- samtyckt till sådan användning och överföring och inte dragit tillbaka den.
-
Den information som du ska se till att den registrerade får ta del måste minst innehålla uppgifter om att spårnings-ID, IP-adressen och enhetsinformation delas med Google i USA.
Förutom ett tydligt samtycke så bör du även se till att:
- Kontrollera att du har uppdaterat avtalet som du har föranvändning av Google Analytics (inklusive personuppgiftsbiträdesavtalet) har ingåtts med Google Ireland Limited som motpart och inte Google LLC. Detta är numera standard inom den Inre Marknaden för alla nya eller nyligen uppdaterade avtal men vissa äldre kontrakt kan behöva uppdateras. Då är det Google Irland som säkerställer att överföringen till USA sker på ett korrekt sätt, vilket de gör genom att säga att de inte finns någon som helst anledning att datan som samlas in via Google Analytics kommer att vara av intresse för myndigheter i USA.
- IP-anonymisering är aktiverad och implementerad på rätt sätt.
- Alternativet Datadelning är avstängt i Google Analytics. (Alternativet Datadelning är avaktiverat som standard.)
- Alternativet Signaler inte är aktiverat i Google Analytics.
- Om du använder egna användar-ID:n, se till att de inte tillåter användaridentifiering (t.ex. inga e-postadresser i klartext).
- Göra en Transfer Impact Assemnet (TIA) som täcker dataöverföringen mellan Google Ireland Limited och Google LLC och avgöra om du, som personuppgiftsansvarig, om du håller med Google Ireland Limited om att det inte finns någon anledning att tro att personuppgifter som samlas in från dina användare genom att använda Google Analytics kommer att vara föremål för intresse för, och att de därmed överförs till, underrättelsemyndigheter i USA.
Axel Tandberg
Legal Works