Nya beslut kring användning av Google Analytics

Digital Law
JOHANNA GRUNDBERG & DANIEL REMNERT
17.01.2022

I skrivande stund har två beslut publicerats gällande webbsideansvarigas användning av Google Analytics. I båda besluten kom tillsynsmyndigheten fram till att implementering av Google Analytics på webbplatsen innebar att webbsideansvarige bröt mot kraven på skydd av personuppgifter i GDPR. I detta blogginlägg har besluten sammanfattats och analyserats för att klargöra vad detta betyder för dagens webbanalys.  
 

GDPR tillämpas som bekant när en organisation behandlar personuppgifter. Att det behandlas personuppgifter vid användning av Google Analytics framgår tydligt, särskilt i ett av besluten där tillsynsmyndigheten klargjorde att IP-adressen endast är ett av många digitala fotavtryck som kan användas för att identifiera en individ. Unika identifierare som används för att särskilja användare bedömdes också vara personuppgifter, trots att traditionella identifierare som namn eller e-post saknas eller blivit raderade. Det innebär därmed att unika identifierare som används för att särskilja individer är personuppgifter trots att det inte är möjligt att ta reda på individens faktiska identitet.

När Google Analytics implementeras på en webbplats förs personuppgifter över till Googles servrar i USA. I GDPR finns krav på att överföringar av personuppgifter till länder utanför EU/EES ska ske med stöd av ett överföringsverktyg. Det verktyg som Google och dess kunder använder för att föra över personuppgifter till USA är s.k. standardavtalsklausuler (SCC). I besluten klargjordes att det inte är möjligt att endast stödja sig på SCC för överföringen - ytterligare skyddsåtgärder ska vidtas. Dessa kan utgöras av pseudonymisering och/eller kryptering på ett tillräckligt tillförlitligt sätt som innebär att amerikanska underrättelsetjänsten inte kan ges tillgång till personuppgifterna. Vidare framförde tillsynsmyndigheten att amerikanska underrättelsetjänster använder nätidentifierare som utgångspunkt för sina övervakningsprogram. Därför ansåg tillsynsmyndigheten att det inte var möjligt att utesluta att den amerikanska underrättelsetjänsten hade samlat in dessa uppgifter och att uppgifterna om personen kan spåras tillbaka till den enskilda personen.  

Anledningen till att det krävs ytterligare säkerhetsåtgärder vid överföring av personuppgifter till USA är att skyddet av personuppgifter i USA inte är tillräckligt starkt. EU-domstolen fastslog redan under 2020 i den s.k. Schrems II-domen att möjlighet till övervakning genom FISA 702 och EO 12.333 är inte proportionerlig och inte heller förenlig med rätten till en rättvis rättegång, vilket är en grundläggande rättighet i EU.   

De åtgärder som Google och webbsideansvariga vidtagit var enligt tillsynsmyndigheten inte tillräckliga. I det ena beslutet användes IP-maskering (vilket är en inställning man kan göra i Google Analytics för att radera de sista siffrorna i IP-adressen), men det hade felaktigt aktiverats varför tillsynsmyndigheten inte prövade frågan om maskeringen utgör en tillräcklig skyddsåtgärd. Det ska dock påpekas, som nämnts ovan, att IP-adressen inte ensamt utgör de personuppgifter som behandlas vid användning av Google Analytics. Det bör betyda att IP-maskeringen inte ensamt kan utgöra tillräckliga säkerhetsåtgärder.  

Är Google Analytics olagligt?  

Tillsynsmyndigheterna framförde inte att användning av tjänsten i sig är olagligt, men att de implementerade säkerhetsåtgärderna inte var tillräckliga. Därmed är det möjligt att anta att webbsideansvariga kan fortsätta använda Google Analytics, under förutsättning att andra tillräckliga säkerhetsåtgärder implementeras. Det står dock klart att tillsynsmyndigheterna inte anser att användning av tjänsten i sitt grundutförande är förenligt med kraven i GDPR.


Du kan läsa
europeiska datatillsynsmannens beslut
här och beslutet från österrikes tillsynsmyndighet här.