Skip to content

    Navigera i dataskyddets värld: Vad IMY:s beslut betyder för ditt företag

    Den 3 juli kom Integritetsmyndigheten (IMY) med ett beslut om att fyra stora företags användning av Google Analytics strider mot dataskyddsförordningen. Ett beslut som fick många företagsledare att sätta morgonkaffet i halsen. Men vad betyder egentligen IMY:s beslut och vad innebär det för din organisation? Vi vill reda ut era frågor så att morgonkaffet kan fortsätta avnjutas utan att någon riskerar brännskador.

    IMY:s beslut: En vändpunkt för dataskydd

    Tredjelandsöverföringar av personuppgifter har under de senaste åren blivit uppmärksammat av både tillsynsmyndigheter och av EU-domstolen. Med tanke på att de flesta och de största molntjänsterna idag ägs av amerikanska bolag, kan det vara svårt för organisationer att helt undvika att data behandlas utanför EU/EES.

    IMY har nyligen fattat ett beslut som ger vägledning om hur företag bör hantera personuppgifter. Beslutet gällde fyra företags användning av Google Analytics, ett populärt verktyg som används för att samla in besöksstatistik på webbplatser. IMY ansåg att företagens användning av Google Analytics strider mot dataskyddsförordningen, GDPR. Anledningen var att de förde över personuppgifter till USA i klartext (utan att först anonymisera eller pseudonymisera). USA är ett så kallat tredjeland, ett land utanför EU/EES.

    Vill du fördjupa dig kring IMY:s beslut så kan du läsa mer här.

    Men vad betyder egentligen dessa beslut? Låt oss börja med att dela upp det i de två viktigaste beståndsdelarna. Dvs de beståndsdelar som vi som organisationer behöver förstå och hantera utifrån kraven i GDPR.  

    Beståndsdel 1: Personuppgifter

    Personuppgift är data som kan användas för att direkt eller indirekt identifiera en person. Oftast tänker man på information som namn, demografi etc. Personuppgifter kan även vara en kombination av datapunkter där varje enskild datapunkt inte är en personuppgift, men där kombinationen av datapunkter kan användas för att identifiera en person. IMY nämnde dessutom i sina beslut att uppgifter som kan användas för att särskilja en person också är en personuppgift, alltså exempelvis ett unikt användar-ID. Det innebär i praktiken att vad som är en personuppgift kan skilja sig från fall till fall.

    Beståndsdel 2: Tredjelandsöverföring

    Förenklat sker en tredjelandsöverföring när personuppgifter (se ovan) som samlas in av organisationer i EU behandlas i tredjeland, exempelvis lagras på en server i USA.

    Vad betyder detta för ditt företag?

    IMY:s beslut om organisationernas användning av Google Analytics har stor betydelse, inte bara för de fyra organisationerna, utan IMY:s uttalanden i beslutet kan också ge vägledning för andra organisationer som använder Google Analytics och liknande verktyg. Beslutet pekar på vikten av att identifiera vad som är eller kan klassas som personuppgifter samt var personuppgifterna behandlas. Något som inte framgår av beslutet men som är viktigt att uppmärksamma i detta sammanhang är följande. Användning av Google Analytics kan innebära tredjelandsöverföring, oavsett vilken version som används (GA3, GA4, anpassningar med proxyserver etc). Överföringar kan dessutom ske till fler tredjeländer än USA. Om ditt företag använder Google Analytics eller andra verktyg för att samla in och analysera data, kan det vara dags att granska implementering och användning och se till att dem är i linje med kraven i GDPR.

    Räcker det inte att besökarna accepterat användning av analys-kakor på min webbplats?

    Det korta svaret är nej. Om analysverktyget använder kakor eller liknande spårningstekniker behöver besökarna till webbplatsen acceptera dessa för att man ska kunna sätta kakor i besökarnas webbläsare. Man kan säga att det är en förutsättning för att organisationer får lov att inhämta data. Här kan du läsa mer om samtyckeskrav för kakor och liknande spårningstekniker. Dataskyddsbestämmelserna lever parallellt med varandra, vilket gör att organisationer behöver:

    1. samla in samtycke (få ok att spara data/mäta),
    2. ha koll på vad man mäter (vad som utgör personuppgifter) och
    3. ha kontroll på sina tredjelandsöverföringar (var personuppgifter behandlas).

    För att få en heltäckande lista på krav som träffar just din organisations användning av ett verktyg kan en behandlingsanalys göras. Då går man igenom den specifika situationen och tittar på samtliga krav i GDPR för att hitta åtgärder för att följa samtliga dataskyddsprinciper.

    Fördjupning:

    Vilka andra verktyg kan man använda med hänsyn till IMY:s beslut? Hur påverkas IMY:s beslut av det beslut som EU-kommissionen fattade den 10 juli 2023 och som återigen öppnar för överföring av personuppgifter till vissa företag i USA? Läs vidare i vår bloggserie där vi bland annat går igenom dessa frågor.

    Blogginlägget är skrivet av Carl Löjdqvist, Head of Performance på Knowit Experience och Johanna Grundberg, dataskyddsjurist på Knowit Cybersecurity & Law.

    Läs del 2: Alternativa analysverktyg och den nya EU-USA-lösningen

     

    P.S. I höst kommer vi på Knowit Experience anordna ett frukostseminarium där vi tar upp besluten, vad de innebär och vad du som företag kan göra nu. Intresseanmäl dig redan nu så återkommer vi med tid och plats!