IMY har beslutat att bolag måste sluta använda Google Analytics, men frågor kvarstår

IMY publicerade den 3 juli fyra beslut med rubriken att man uppmanar alla organisationer i Sverige att sluta använda sig av Google Analytics. De fyra berörda företagen är Coop, Dagens Industri (DI), Tele2 och CDON. Efter en närmare genomgång av besluten kvarstår dock frågor  då IMY baserat sitt beslut på användandet av Googleverktyget Universial Analytics (UA) samt de EU standardklausuler (EU SCC) som gällde den 14 augusti 2020. Vid publiceringen av besluten är ingendera av dem i bruk.  

IMY inledde sina tillsynsärenden i samband med att fyra anmälningar hade inkommit genom att NOYB (None of Your Business) hösten 2020 samtidigt anmälde 101 webbplatser inom EU till samtliga EUs dataskyddsmyndigheter för webbplatsernas fortsatta användning av Google Analytics, med dess överföring av ev. personuppgifter till USA, efter det att den s.k. Schrems II domen vunnit laga kraft. Aktionen fick till följd att samtliga dataskyddsmyndigheter inom EU började gemensamt undersöka frågan, vilket har lett till att man har inom EDPB (Europas dataskyddsmyndigheter) kommit fram till ett gemensamt grundbeslut i frågan.  

Det gemensamma grundbeslutet från dataskyddmyndigheternas innebär att användning av Google Analytics med EUs standardavtalsklausuler (EU SCC) som grund för överföringen till USA som gällde vid tidpunkten som ligger till grund för anmälan, dvs. den 14 augusti 2020, inte är i enlighet att GDPR.  

Slutsatsen var att det de facto sker en överföring av personuppgifter till USA trots att IP-adresserna anonymiserades direkt vid ankomst till USA och att de extra säkerhetsåtgärder som Google hade gjort vid tillfället för anmälan inte var tillräckliga för att hindra att säkerhetstjänsterna i USA inte skulle kunna komma åt uppgifterna. Det gemensamma beslutet har lett till att tre av de europeiska dataskyddsmyndigheterna har publicerat sin tolkning av beslutet – Österrike, Frankrike och Italien – där man har uppmanat de inblandade företagen att sluta använda sig av det aktuella Google Analytics-verktyget.  

Det som skiljer de svenska besluten från de som de tre länderna har publicerat är att man i Sverige är först med att lägga till en sanktionsavgift i två av besluten (Tele2 – 13 000 000 SEK och CDON 300 000 SEK respektive). Skälet till att Dagens Industri (DI) och Coop sluppit sanktionsavgifter är följande: 

  • DI hade använt sig av en anonymiseringstjänst baserat i ett EU-moln som har sett till att inga personuppgifter fördes över via de anmälda kakorna som ingick i tjänsten MEN att man hade missat att en annan kaka skickade över användarens IP-adress i klartext. IMY ansåg Dagens Industri gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde och gav endast en reprimand. IMY ålägger samtidigt DI att upphöra att använda sig av det Googleanalytics-verktyg som ANVÄNDES den 14 augusti 2020 samt en månad att säkerställa att den andra kakan åtgärdas.  
  • Även Coop har använt sig av en anonymiseringstjänst baserad inom EU via en så kallad Server side-tjänst vilken möjliggjorde anonymiserade uppgifter från de anmälda kakorna. Problemet var att detta inte gjordes med andra kakor, som skickade uppgifter som möjliggjorde identifiering av användaren på annat sätt, i klartext direkt till Google i USA. IMY anser även här att Coop har gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde. IMY ålägger samtidigt Coop att se till att man upphör att använda sig av det Googleanalytics-verktyg som ANVÄNDES den 14 augusti 2020. Samtidigt ska man vid ev. fortsatt användning av Google Analytics tillse att informationen som förs över till USA via verktyget överensstämmer med GDPR.  

Det är nu som frågorna uppstår. IMY har baserat sitt beslut på användandet av Googleverktyget Universal Analytics (UA) samt de EU SCC som gällde den 14 augusti 2020 men vid publiceringen av besluten är ingendera av dem längre i bruk.  

  • De EU SCC som fanns den 14 augusti 2020 baserade sig på ett beslut från EU- kommissionen 2010 och har ersatts av en mer GDPR-anpassad version 2021. De gamla upphörde att vara giltiga som överföringsmekanism den 27 december 2022.  
  • Google upphörde att samla in information via UA den 30 juni 2023 och lät ersätta denna metod med GA4. För att använda sig av GA4 skrivs avtalet med Google Ireland Ltd., dvs ett företag som ligger inom EU. Detta innebär att motparten ligger under samma jurisdiktion vad det gäller personuppgiftsbehandling som de svenska företagen som använder sig av den tjänsten.  

En fråga som jag skulle vilja få svar på är om det från IMY:s synvinkel gör någon skillnad om man använder sig av de uppdaterade verktygen som finns. En annan fråga som vore bra att få svar på är om det är tillräckligt att företag inom EU använder sig av en pseudonymiseringsprocess baserad inom EU och skickar över pseudonymiserade uppgifter som endast innehåller en identifierare som bara det EU-baserade företaget kan använda sig av för att återidentifiera användaren. 

Sammanfattning
Bör då alla organisationer sluta använda Google Analytics nu? Svaret där blir, nja, vi kan fortfarande använda Google Analytics så länge vi inte använder oss av verktyget som berörs i beslutet – UA. Samtidigt ska vi vara medvetna om att personuppgifter kan komma att föras ut ur EU och att vi därför bör sätta upp en Server side som möjliggör en pseudonymisering, maskning och hashning av uppgifterna innan de lämnar EU.  

Dessutom har EU-kommissionen den 10 juli beslutat om en överföringsmekanism som anses medföra ett adekvat skydd för just överföring till Google (och andra företag baserade i USA) kallad EU US Data Privacy Framework. Du kan läsa mer om det här

Denna mekanism kommer emellertid även att utmanas av NYOB så det återstår att se om den klarar EU-domstolens kontroll.  

Axel Tandberg
Jurist