IMY:s ställningstagande om Google Analytics

Det har idag kommit fyra rykande färska beslut från IMY om användningen av Google Analytics. Här kan du läsa en sammanfattning av besluten samt våra spaningar kopplade till dem. Enjoy!

Idag kom Integritetsskyddsmyndighetens (IMY) beslut gällande fyra bolags användning av analysverktyget Google Analytics på respektive verksamhets webbplatser. I korthet kom tillsynsmyndigheten fram till att användningen av verktyget, i ljuset av den så kallade Schrems II-domen, i samtliga fall inneburit otillåten tredjelandsöverföring av webbplatsbesökares personuppgifter.

Ärenden härstammar från hösten 2020, då intresseorganisationen NOYB samordnade sammanlagt 101 klagomål till samtliga dataskyddsmyndigheter inom EU/EES för att på bred front pröva hur användningen av Google Analytics stod sig i ljuset av den då färska Schrems II-domen. Huvudfrågan i klagomålet gällde huruvida de tredjelandsöverföringar till USA som skedde i samband med nyttjande av analysverktyget var förenliga med domens slutsatser.

Flertalet tillsynsmyndigheter inom EU har kommit med beslut, där de kom fram till att verktyget inte kunde användas utan att otillåten tredjelandsöverföring sker. De fastslog bland annat att personuppgifter i form av IP-adresser och beteendedata som fångas upp av webbkakor är att betrakta som personuppgifter och att standardavtalsklausuler inte ensamt var en giltig överföringsmekanism på grund av USA:s övervakningslagar som hade problematiserats i Schrems II-domen. I besluten framgick det att personuppgifter samlas in och överförs till tredjeland på ett otillåtet vis och att det saknades tillräckliga skyddsåtgärder för att skydda uppgifterna mot underrättelsetjänsters lagenliga befogenheter i USA.

De färska besluten från IMY – som gäller granskning av fyra olika företag – fastslår tidigare tillsynsmyndigheters slutsatser. Värt att notera är dock att IMY:s val av ingripande skiljer sig märkbart mellan företagen, då exempelvis ett av företagen blev ålagd en sanktionsavgift på 12 miljoner kronor medan ett annat kom undan med endast ett föreläggande att i fortsättningen följa GDPR:s tredjelandsöverföringsbestämmelser.

Anledningen till att två av företagen undvek sanktionsavgifter är att båda har utfört omfattande utredningar och vidtagit fler säkerhetsåtgärder för att läka bristerna i relation till överföringen, exempelvis genom att inrätta en så kallad server side container för att öka kontrollen över dataflödet och se till att endast en generisk IP-adress överförs till USA i stället för individuella IP-adress. IMY tar i dessa fall även hänsyn till att företagen själva har vidtagit säkerhetsåtgärder för att förhindra tredjelandsöverföring av personuppgifter, även om det vid närmare granskning visat sig att de vidtagna åtgärderna inte har varit tillräckliga.

I ett av besluten behandlas frågan om säkerhetsåtgärder kopplat till IP-adresser (genom trunkering av sista siffrorna i adressen). I det sammanhanget noterar IMY att företaget har överfört clientID, userID, gclid och dclid samt transactionID i klartext. Därefter konstaterar IMY att säkerhetsåtgärder ska vidtas för samtliga unika identifierare på så vis att uppgifterna inte ska kunna sammankopplas med en individ.

I korthet kan besluten sammanfattas med att IMY följer den riktning som lagts ut av andra dataskyddsmyndigheter. IMY konstaterar att skydd av IP-adresser (genom trunkering) inte ensamt är en tillräcklig åtgärd för att fortsatt kunna använda verktyget lagligt, i det fall andra unika identifierare samlas in genom användning av verktyget. Vi på Knowit kommer att fortsätta att analysera besluten och uppdatera våra slutsatser på bloggen. Dessutom viskas det om att EU-kommissionen i juli kommer bestämma sig för om USA får ett beslut om adekvat skyddsnivå vilket också kommer påverka bedömningen av användning av Google Analytics. Håll utkik för fler nyheter här på bloggen!