Efter klagomål från intresseorganisationen None of Your Business (NOYB) har Integritetsskyddsmyndigheten (IMY) granskat fyra svenska bolag och hur de använder sig av Google Analytics för att samla in och analysera trafik på sina webbplatser. Samtliga bedöms bryta mot dataskyddsförordningen GDPR och två tilldelas sanktionsavgift.
Enligt GDPR får data endast överföras till tredjeland, det vill säga utanför EU och EES, om EU-kommissionen tidigare beslutat att landet har motsvarande skyddsnivå för personuppgifter som inom EU och EES. Google Analytics tillhör som namnet avslöjar Google, som är amerikanskt och beläget i USA. Sedan avtalet Privacy Shield revs upp och EU-domstolen genom domen Schrems II slog fast att USA inte har adekvat skyddsnivå får data enligt GDPR således inte lagras där.
De granskade bolagen var Tele2, CDON, Dagens Industri och Coop och granskningen utgår från användningen av en version av Google Analytics från år 2020. IMY anser att uppgifterna som överförs via Googles verktyg är personuppgifter, eftersom de "kan kopplas samman med övriga unika uppgifter som överförs".
Dagens Industri och Coop bedöms bryta mot GDPR trots egna skyddsåtgärder. Dagens Industri hade bland använt sig av anonymiseringsverktyg och fört data genom EU-baserade servrar. Där maskerades bland annat de sista siffrorna i IP-adresser, men IMY ansåg att det inte var tillräckligt.
Tele2 får betala 12 miljoner kronor
Eftersom de vidtagit skyddsåtgärder, om än otillräckliga, utfärdades ingen sanktionsavgift. Tele2 och CDON döms däremot att betala 12 miljoner kronor respektive 300 000 kronor i administrativ sanktionsavgift. Tele2 har på eget bevåg redan slutat använda Google Analytics, men de övriga tre föreläggs att sluta använda verktyget omgående.
Google Analytics körs på var och varannan webbplats i Sverige. Att det är oförenligt med GDPR är egentligen inga nyheter. Det har vi redan fått besked på från IMY:s motsvarigheter i andra EU-länder. Men nu ökar pressen på att snabbt byta ut Google Analytics. – Karl-Emil Nikka, IT-säkerhetsspecialist (till Realtid)
Domen är en så kallad vägledande dom som blir viktig vid bedömningar av andra organisationer som använder sig av Google Analytics. Beslutet följer en rad motsvarande beslut från motsvarande myndigheter i andra länder, däribland i grannlandet Norge och i Tyskland.
