Knowits cookieserie #2: Cookies och GDPR

Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den andra delen i en serie inlägg om cookies där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. vilka tekniker som omfattas av cookielagen, om en cookie kan vara en personuppgift och om Google Analytics är lagligt. Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se.

Vilka tekniker omfattas av cookielagen?

Lagen träffar all lagring eller hämtning av uppgifter i en användares enhet. Det innebär att förutom cookies omfattas även så kallad fingerprinting av lagen. Fingerprinting är ett alternativ till cookies eftersom tekniken också kan användas för webbanalys. Förenklat innebär fingerprinting att en uppsättning information lagras eller hämtas som identifierar en dator, mobil eller surfplatta. Informationen kan hämtas och lagras i exempelvis CSS- och JavaScript-filer eller i en HTTP header när du besöker en hemsida. Det spelar ingen roll om informationen är en personuppgift eller inte, cookielagen gäller oavsett.¹  I det första blogginlägget i denna serie kan du läsa mer om samtyckeskravet enligt cookielagen. När informationen dessutom utgör en personuppgift blir ytterligare ett regelverk aktuellt – GDPR.²

Vad är en personuppgift?

En personuppgift är en upplysning om en person som direkt eller indirekt kan kopplas till denne.³ Din mailadress kan vara en personuppgift om den består av ditt för och efternamn (och det är relativt unikt) eller genom någon annan unik identifierare. En IP-adress är som huvudregel en personuppgift.

Utgör cookies personuppgifter?

Upplysningar om t.ex. vilken browser du surfar från, din skärmstorlek, vilka språkinställningar du gjort på en webbplats, vilken tid du besöker en webbplats eller vilka sidor du tittar på kan utgöra personuppgifter. Avgörande är om uppgifterna kan kopplas till dig genom en unik identifierare (t.ex. mailadress eller IP-adress). Ofta samlas IP-adress in av analystjänster vilket som huvudregel är en unik identifierare.

I de flesta analystjänster kan varje användare dessutom tilldelas en unik nummerkombination genom vilken analytikern kan urskilja enskilda besök. Denna unika identifierare kan också göra att uppgifterna direkt eller indirekt kan kopplas till dig. Ju mer uppgifter som samlas in desto större är chansen (eller risken) att cookien innehåller personuppgifter. En cookie eller liknande teknik som används för analys samlar därför som huvudregel in personuppgifter. När en organisation behandlar personuppgifter blir den i vissa fall personuppgiftsansvarig.

Vad är en personuppgiftsansvarig?

En personuppgiftsansvarig är den som bestämmer varför och hur personuppgifterna behandlas. Det är ofta webbsideansvariga som bestämmer att personuppgifter ska behandlas för analys (varför) samt vilket verktyg som ska användas och på vilket sätt det används (hur). Därför är webbsideansvariga som huvudregel personuppgiftsansvarig vid webbanalys genom cookies och liknande tekniker.

Vad är den personuppgiftsansvariges ansvar?

Den personuppgiftsansvariga ska se till att GDPR följs och ska dessutom kunna bevisa det.⁴ I praktiken betyder det att webbsideansvarige behöver säkerställa att leverantören av analystjänsten håller sig inom lagens ramar, samt dokumenterar att och hur detta säkerställs. Det kan uppfattas som märkligt att det är kunden som ska se till att leverantören håller sig till regelverket, men så är regelverket uppbyggt. Webbsideansvarig bör därför ställa relevanta frågor till leverantören och granska villkoren för tjänsten. Bland annat är det viktigt att undersöka om leverantören omfattas av utländska regelverk som strider mot vissa bestämmelser i GDPR samt var leverantören lagrar personuppgifterna. Om leverantören t.ex. är amerikanskägd och/eller lagrar uppgifter hos ett amerikanskägt företag bör webbsideansvarig vidta både tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Är Google Analytics olagligt?

Efter den s.k. Schrems II-domen har användandet av amerikanska molntjänster blivit svårare. Många företag runt om i Europa som använder Google Analytics och Facebook Connect har blivit föremål för tillsyn. Anledningen till tillsynen är bland annat att webbsideansvariga vid användning av tjänsterna överför personuppgifter till Google och Facebook  i USA. Vi väntar fortfarande på utfallen av dessa tillsynsärenden, men europeiska dataskyddsstyrelsen har antagit rekommendationer för överföring (däribland lagring) av uppgifter utanför EU. Rekommendationerna klargör att lagring av personuppgifter i klartext i USA strider mot GDPR. Ytterligare åtgärder måste därför vidtas av webbsideansvariga när analystjänster från amerikanska leverantörer används för att minimera risken att tjänsten används på ett sätt som strider mot principerna i GDPR. Enkelt förklarat innebär rekommendationerna att personuppgifter behöver pseudonymiseras eller krypteras innan de förs över till USA. Pseudonymiserings- eller krypteringsnyckeln ska inte finnas tillgänglig för mottagaren av personuppgifterna (Google i detta exempel).⁵ Det är ytterst tveksamt att den ”anonymisering” av IP-adress som Google erbjuder uppfyller kraven som ställs i riktlinjerna, men det finns andra lösningar som Google erbjuder som kan göra det.

Vad händer om man bryter mot GDPR?

Om en aktör inte följer reglerna i GDPR finns det en risk att få en sanktionsavgift. Sanktionsavgiften kan som högst motsvara det större beloppet av 4% av årsomsättningen eller €20 miljoner.

Källor

1: WP244, Opinion 9/2014 on the application of Directive 2002/58/EC to device
Fingerprinting [https://www.dataprotection.ro/servlet/ViewDocument?id=1089].

2: Artikel 2 i GDPR.

3: Artikel 4.1 i GDPR.

4: Artikel 4.7 och 5.2 i GDPR.

5: I vissa fall kan även lagring av personuppgifter hos amerikanskägda molntjänster strida mot GDPR. Jfr EDPB:s rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter.

Låt Knowits experter hjälpa dig 

Reglerna kring cookies kan vara svåra att förstå och det är inte förvånande att det råder en viss förvirring och osäkerhet om vad som gäller, eftersom det kräver en förståelse för både webbspårning och dataskyddslagstiftning. På grund av den senaste tidens utveckling på området har vi på Knowit tagit fram ett erbjudande för att underlätta verksamheters webbanalys och minska dataskyddsrisker. Du hittar erbjudandet här.