Integritetsskyddsmyndigheten (IMY) har genomfört granskningar av hur fyra företag använder Google Analytics för att samla in besöksstatistik under GPDR-lupp. Resultatet av granskningarna har resulterat i att IMY utfärdar sanktionsavgifter mot två av bolagen, medan det tredje bolaget har frivilligt valt att avsluta användningen av verktyget. IMY uppmanar även de tre kvarvarande bolagen att sluta använda Google Analytics.
Granskningarna utfördes på CDON, Coop, Dagens Industri och Tele2, där fokus låg på en specifik version av Google Analytics från 14 augusti 2020. Granskningarna initierades på grund av klagomål från intresseorganisationen None of Your Business (NOYB), med hänvisning till EU-domstolens Schrems II-dom. Klagomålen hävdade att bolagen överförde personuppgifter till USA i strid med gällande lagstiftning.
Enligt dataskyddsförordningen (GDPR) får personuppgifter överföras till tredjeländer, det vill säga länder utanför EU/EES, endast om EU-kommissionen har bedömt att dessa länder har en adekvat skyddsnivå för personuppgifter som motsvarar den inom EU/EES. Dock fastställde EU-domstolen genom Schrems II-domen att USA vid den tidpunkten inte uppfyllde en sådan adekvat skyddsnivå.
IMY anser att de uppgifter som överförs till USA genom Googles statistikverktyg är personuppgifter eftersom de kan kopplas samman med andra unika uppgifter som överförs. Myndigheten anser också att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för att garantera en skyddsnivå som liknar den inom EU/EES.
Genom att IMY fattat beslut i dessa ärenden samtidigt klargörs de krav som ställs på tekniska skyddsåtgärder och andra åtgärder vid överföring av personuppgifter till t.ex. USA.
Om det inte finns något beslut från EU-kommissionen om adekvat skyddsnivå kan överföring av uppgifter ske med hjälp av s.k. standardavtalsklausuler som beslutats av EU-kommissionen. Enligt EU-domstolen kan dock sådana standardavtalsklausuler behöva kompletteras med ytterligare skyddsåtgärder för att det skydd de avser att ge ska kunna upprätthållas i praktiken.
Samtliga fyra bolag har grundat sin överföring av personuppgifter genom Google Analytics på standardavtalsklausuler. IMY:s utredningar visar dock att inga av bolagens ytterligare tekniska skyddsåtgärder är tillräckliga. IMY utfärdar en administrativ sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON, som inte har vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har nyligen självmant slutat använda statistikverktyget. IMY uppmanar de återstående tre bolagen att sluta använda verktyget.
Dessa beslut har inte bara konsekvenser för de fyra berörda bolagen, utan kan också fungera som vägledning för andra organisationer som använder Google Analytics, åtminstone GAU dvs Universal-versionen av Analytics.
Google Analytics 4 registrerar och lagrar inte IP-adresser i samband med datainsamling.
Analytics innehåller även kontroller för att
Med Matomo kan du lagra all analysdata lokalt på egen server. Företaget erbjuder dessutom molnlösningar för de som har särskilda behov eller krav. Matomo bygger på open source och har färre begränsningar än Google Analytics när det kommer till kontrollen av datan.