Integritetsskyddsmyndigheten (IMY) och Google Analytics

Integritetsskyddsmyndigheten (IMY) och Google Analytics

Under 2022 anslöt sig Sveriges dataskyddsmyndighet, IMY (Integritetsskyddsmyndigheten), till flera andra europeiska myndigheter genom att bedöma att användning av Google Analytics stred mot GDPR. Besluten rörde specifikt överföringen av personuppgifter till USA och fick omedelbara konsekvenser för alla svenska organisationer som använde Google Analytics. Bakgrunden hänger samman med GDPR:s grundprinciper. Denna artikel sammanfattar vad som hände, vilka konsekvenserna blev och vad du som företag bör göra.

Bakgrunden: Schrems II och dess effekter

I juli 2020 ogiltigförklarade EU-domstolen Privacy Shield-avtalet mellan EU och USA i det som kallas Schrems II-domen. Domstolen ansåg att amerikanska övervakningslagar inte gav tillräckligt skydd för europeiska medborgares personuppgifter. Detta skapade en juridisk osäkerhet kring alla dataöverföringar till USA, inklusive de som sker via Google Analytics. Den österrikiska dataskyddsmyndigheten var först med att fatta beslut om Google Analytics i januari 2022, och flera andra länder följde därefter.

Vad IMY beslutade

IMY fann att användning av Google Analytics resulterade i överföring av personuppgifter till USA, där de inte var tillräckligt skyddade enligt GDPR:s krav. Trots Googles standardavtalsklausuler och kompletterande åtgärder bedömde IMY att skyddet var otillräckligt. Flera svenska organisationer förelades att sluta använda Google Analytics eller implementera ytterligare skyddsåtgärder.

IMY:s granskning fokuserade på fyra svenska organisationer och resulterade i sanktionsavgifter och förelägganden. Besluten var tydliga: de tekniska och organisatoriska åtgärder som organisationerna hade implementerat räckte inte för att uppväga riskerna med dataöverföring till USA.

Bredare europeiskt sammanhang

• Liknande avgöranden fattades av dataskyddsmyndigheter i Österrike, Frankrike, Italien och andra EU-länder, i linje med EDPB:s vägledning.
• Avgörandena grundades på Schrems II-domen, som ogiltigförklarade EU:s och USA:s Privacy Shield-ramverk.
• EU:s och USA:s Data Privacy Framework, som antogs 2023, har sedan dess tillhandahållit en ny rättslig grund för vissa dataöverföringar till USA, men dess långsiktiga stabilitet är fortfarande osäker.
• Integritetsaktivisten Max Schrems har redan signalerat att han avser att utmana det nya ramverket, vilket innebär att situationen kan förändras igen.

Alternativ och åtgärder

Företag som vill fortsätta använda Google Analytics har flera alternativ. Server-side tagging gör det möjligt att kontrollera exakt vilken data som skickas till Google genom att bearbeta datan på din egen server först. Du kan anonymisera eller ta bort personuppgifter innan de lämnar din server. Det finns också integritetsfokuserade analysverktyg som Matomo, Plausible och Fathom som kan köras helt inom EU utan dataöverföringar till tredjeland.

Vad det innebär i praktiken

Om du använder Google Analytics behöver du hålla dig informerad om den aktuella rättsliga statusen för EU-US-dataöverföringar och säkerställa att din implementering efterlever den senaste vägledningen. Överväg att implementera server-side tagging för att kontrollera vilken data som skickas till Google. Utvärdera integritetsfokuserade analysalternativ. Oavsett vilket verktyg du använder, upprätthåll korrekt samtyckehantering och se till att din integritetspolicy korrekt beskriver dina databehandlingsaktiviteter.

Checklista för din organisation

• Granska din nuvarande Google Analytics-implementering och identifiera vilken data som överförs till USA.
• Utvärdera om server-side tagging kan minska mängden personuppgifter som delas med Google.
• Undersök integritetsfokuserade alternativ som Matomo, Plausible eller Fathom.
• Säkerställ att din samtyckehantering (Consent Management Platform) är korrekt konfigurerad.
• Uppdatera din integritetspolicy så att den korrekt beskriver vilka analysverktyg du använder och hur data behandlas.
• Följ utvecklingen kring EU-US Data Privacy Framework och var beredd att anpassa dig om det rättsliga läget förändras.

Det regulatoriska landskapet fortsätter att utvecklas, och proaktivitet är den bästa strategin. Företag som investerar i en integritetsanpassad mätinfrastruktur nu slipper stressiga anpassningar om regelverket skärps ytterligare.