Är Google Analytics olagligt?

Blogg
IMY tog ett antal beslut rörande Google Analytics, sommaren 2023, vilka bötfällde och uppmanade de granskade företagen att sluta använda webbanalysverktyget? Varför? Vad krävs för att använda Google Analytics utan att bryta mot GDPR och andra dataskyddslagar?
Innehållsförteckning

Sommaren 2023 publicerade Integritetsskyddsmyndigheten (IMY) fyra beslut rörande Google Analytics. I det initiala pressmeddelandet skrev IMY:

”Bolag måste sluta använda Google Analytics”.

Rubriceringen väckte uppmärksamhet, och många dataskyddsexperter undrade om IMY verkligen menade att det nu var förbjudet att använda världens största webbanalysverktyg.

Några dagar senare hade rubriken ändrats till:

”Fyra bolag måste sluta använda Google Analytics”.

IMY hade också lagt till en mening i brödtexten:

”Granskningarna avser en version av Google Analytics från 14 augusti 2020”.

IMY hade således inte granskat ärendena utifrån GA4, men spelar det någon roll?

För dem som följt Google-Analytics-frågan ur ett EU-perspektiv  stod det klart att Sverige nu sällade sig till andra europeiska dataskyddsmyndigheter. Och att frågan enbart rörde tredjelandsöverföring – det vill säga utmaningen att föra över personuppgifter till USA eftersom EU och USA saknade ett datadelningsavtal.

Sverige verkar således ha varit lite ”sist på bollen”.

Tidigare har österrikiska, franska, italienska och norska myndigheter beslutat att användningen av verktyget, utan åtgärder, strider mot Dataskyddsförordningen.

Dessutom har Moderbolaget till Google Analytics, Google LLC, har också drabbats av mångmiljonböter från flera europeiska dataskyddsmyndigheter, inklusive Frankrikes CNIL, Sveriges IMY och Belgiens APD.

Läs också: Vad är Schrems II? Kommer det ett Schrems III?

En vecka efter IMY:s beslut fick USA och EU till ett nytt datadelningsavtal, vilket åter gjorde det enklare att föra över personuppgifter till USA och således använda en amerikansk molntjänst som till exempel Google Analytics.

Samtidigt hopade sig följdfrågorna:

Finns det andra delar av GDPR som försvårar användningen av GA?
Datadelningsavtalet, Data Privacy Framework, hade redan överklagats. Hur länge kommer det nya datadelningsavtalet att hålla? Och vad händer om/när det faller?

Men innan vi går in på dessa frågor. Låt oss först kika närmare på vad IMY egentligen sa i sitt beslut?

Vad sa IMY i Google Analytics-besluten?

IMY konstaterade att de fyra företagen inte kunde garantera tillräckligt skydd för användarnas personuppgifter. Men medan två  av företagen fick 300 000 SEK respektive 12 miljoner SEK i böter, slapp två sanktionsavgifter helt. 

Anledningen?

De som slapp böter hade vidtagit omfattande åtgärder på de tre områden som IMY räknar. Det betyder att de hade vidtagit avtalsmässiga åtgärder, organisatoriska åtgärder och tekniska åtgärder. 

De hade således försökt, även om de hade misslyckats.

Det spelar således roll att du som företag är om dig och kring dig.

  1. Avtalsmässiga åtgärder: Man hade säkerställt att det fanns bindande avtal med Google gällande tredjelandsöverföring, i detta fall USA. Denna försäkran baserades på de s.k. standardavtalsklausulerna.

  2. Organisatoriska åtgärder: Som en del av deras proaktiva strategi hade dessa företag noggrant kartlagt livscykeln för de personuppgifter som behandlas genom webbanalysverktyget.

  3. Tekniska åtgärder: Tekniska skyddsåtgärder som hade implementerats inkluderade användning av server-side containers för att kontrollera datatransfer till webbanalysverktyget, samt trunkering av IP-adresser.

Trots dessa ansträngningar, påpekar Integritetsskyddsmyndigheten (IMY) att ingen av dessa åtgärder ensamma, eller kombinerade, kan förhindra USA:s underrättelsetjänst från att få tillgång till de överförda personuppgifterna.

Den svagaste länken i kedjan var punkt 3 – de tekniska åtgärderna. Förenklat är slutsatsen: Det räcker inte att enbart fokusera på IP-adressen. Alla variabler som ensamt eller tillsammans med andra variabler kan identifiera en person måste psedonymiseras innan de förs över till Google.

Läs också: Att göra Google Analytics GDPR-säker med en reversed proxy-lösning. 

 Företagen bröt således, enligt IMY, mot  artikel 44 i GDPR. Men IMY valde att inte påföra sanktionsavgifter, tack vare de omfattande tekniska, organisatoriska och avtalsmässiga åtgärderna företagen vidtagit.

Notera att förutsättningen för någon som helst överföring eller delning av data bygger på att man först har fått samtycke från varje besökare. 

Google Analytics, GDPR och datadelningsavtalen med USA

Den stora utmaningen med Google Analytics och moderbolaget Google LLC är att det är ett amerikanskt bolag. Det betyder att den data som samlas in av GA omfattas av amerikanska övervakningslagar.

Amerikanska medborgare värnas genom ”Fourth Amendment”, vilken skyddar dem från ”orimlig övervakning”. Men individer från andra platser i världen, inklusive Europa, omfattas inte av detta skydd.

Den amerikanska staten tillåter därför deras underrättelsemyndigheter att utföra massövervakning av icke-amerikanska medborgare. Det sker med stöd av lagar som Foreign Intelligence Surveillance Act of 1978 (FISA 702) och Executive Order 12.333.

Läs också: Edward Snowden och EU:s visselblåsningsdirektiv

Varje gång personuppgifter om EU-medborgare lämnar Europa och förs över till USA finns det således en risk att USA:s säkerhetsbyråer kommer åt denna data. Det skapar en konflikt mellan amerikansk lag och den rätt till integritet eller privacy som GDPR och EU:s stadga om grundläggande rättigheter ger människor i EU/EES.

På grund av detta måste dataöverföringar mellan EU och USA styras av ett särskilt avtal som intygar att information om européer är lika säker i USA som den skulle vara inom EU. Men ett hållbart avtal kring detta verkar svårt att få på plats. De två tidigare avtalen – Safe Harbor och Privacy Shield – har inte klarat en juridisk prövning.

Varför föll Safe Harbour-avtalet?

Safe Harbor från år 2000 var det första juridiska ramverket som reglerade dataöverföringar mellan EU och USA.

Med Safe Harbor kunde amerikanska företag certifiera sig själva. Listan av företag som förlitade sig på Safe Harbor-konceptet bestod av fler än 5000 företag – inklusive bolag som Facebook och Google.

År 2015 tog Max Schrems, grundaren av integritetsskyddsorganisationen NOYB (None of Your Business), Safe Harbor till ”rätta”. Det vill säga till den irländska dataskyddsmyndigheten. Han gjorde det genom att utmana Facebooks rätt att föra över data till USA.

Han anklagade techjätten för att samla in personlig information från EU-medborgare och skicka den till USA, vilket gjorde den tillgänglig för NSA (National Security Agency). Fallet gick hela vägen upp till EU-domstolen. 

Den 6 oktober 2015 ogiltigförklarades Safe Harbour.

Fallet blev känt som Schrems I, efter Maxmilian Schrems.

Varför föll Privacy Shield?

Kort efter Safe Harbour gick i stöpet kom ett nytt avtal – Privacy Shield. Men också det ogiltigförklarades. Vad innebar det för företag som använder Google Analytics?

Privacy Shield var tänkt att ersätta Safe Harbour, och kom till stånd den 12 juli 2016, bara några månader efter Safe Harbour gick om intet.

Med Privacy Shield hade EU-kommissionen stramat åt kraven kring själv-certifieringen. Men det var inte nog, menade Max Schrems och bestred avtalet i EU-domstolen.  Han förklarade att dataöverföringar under det nya avtalet, likt dem bolag som Facebook företog, från EU till USA fortfarande var olagliga.

Juli 2020 beslutade domstolen att ogiltigförklara Privacy Shield-ramverket. Domslutet blev känt som Schrems II – återigen efter Max Schrems.

Hur har företag kunnat använda Google Analytics ändå?

Svaret stavas standardavtalsklausuler (förkortas SCC, efter standard contractual clauses, på engelska).

Det är ett slags fördefinierade avtalsvillkor som godkänts av EU-kommissionen. Med dem kan företag säkerställa adekvat dataskydd när de vill skicka personuppgifter från EU till ett land utanför EU som saknar ett datadelningsavtal eller ett så kallat adekvansbeslut från EU. De används helt enkelt för att uppfylla GDPR-kraven när personuppgifter behöver skickas till länder som inte anses värna EU-medborgares rätt till integritet.

På ett sätt är SCC lite som att ha och äta kakan. Och företag som använder sig av standardavtalsklausuler måste vara om sig och kring sig. Vilket inte minst var tydlig i de svenska Google Analytics besluten. Det räcker inte att enbart förlita sig på denna juridiska mekansim. Även tekniska och organisatoriska åtgärder behövs. 

Efter att Privacy Shield ogiltigförklarades kunde företag och organisationer välja att luta sig mot SCC. 

Rent formellt heter det att de nya standardkontraktsklausulerna gällde för dataöverföringar från personuppgiftsbiträden och personuppgiftsansvariga i EU/EES (som omfattas av GDPR) till biträden och ansvariga utanför EU/EES (som inte omfattas av GDPR).

Stöd för SCC finns alltså i Dataskyddsförordningen (GDPR). Och den 4 juni 2021 uppdaterade kommissionen klausulerna – gav dem en make-over som de länge hade varit i behov av. De nya klausulerna ersatte nämligen de gamla som hade antagits under det gamla dataskyddsdirektivet från 95/96.

Vad har Schrems II inneburit för dem som använder Google Analytics?

När datadelningsramverket Privacy Shield ogiltigförklarades försvann i EU, således det man kallar, ett adekvansbeslut för USA. Och det blev riskfyllt att använda amerikanska molntjänster, som Google Analytics. Särskilt eftersom Google fortsatte att förlita sig på de standardavtalsklausuler som fanns innan avtalets upphävning. Företag som fortsatte att använda Google Analytics riskerade därför höga böter och skadat anseende.

Strax efter att Privacy Shield blev ogiltigförklarat lämnade NOYB, under Max Schrems ledning, in 101 klagomål mot företag som samlade in besöksdata via Google Analytics och Facebook Connect. Detta initierade en dominoeffekt i Europa med en rad olika beslut och klargöranden. 

De följer här:

  • 2020 inrättade Den europeiska dataskyddsstyrelsen (förkortat EDPB på engelska) en arbetsgrupp för att hjälpa europeiska myndigheter med en enhetlig strategi för klagomål.
  • Den 12 januari 2022 publicerade tillsynsmyndigheten i Österrike ett beslut mot en tysk publicist. Beslutet fastslog att använda Google Analytics för att samla in data om EU-medborgare bryter mot GDPR.
  • I april 2022 beordrade CNIL, den franska tillsynsmyndigheten, tre franska webbplatser att sluta använda Google Analytics.
  • Under de kommande månaderna följde liknande beslut i Italien, Danmark, och Norge.
  • Den holländska tillsynsmyndigheten, som hade skrivit en handbok om hur man använder Google Analytics på ett integritetsvänligt sätt, meddelade att användningen av verktyget ”kanske inte är tillåtet”. Deras motsvarighet i Liechtenstein gav ett liknande utlåtande.
  • Österrike har tagit ett andra beslut i vilken de anger att det inte räcker att anonymisera IP-adresser för att föra över data till tredjeland.
  • Efter sitt tidigare beslut har Frankrikes CNIL gett reviderade riktlinjer för användning av Google Analytics. Deras FAQ tyder på att EU-organisationer inte kan använda verktyget utan ytterligare skyddsåtgärder. CNIL påpekar också att deras syn på Google Analytics ska samordnas med alla europeiska tillsynsmyndigheter.
  • Under tiden arbetade EU-kommissionen och USA:s president Joe Bidens på att ta fram ett nytt, ett tredje, datadelningsramverk.

Data Privacy Framework – tredje gången gillt?

Kan man med stöd av det nya datadelningsramverket mellan EU och USA använda Google Analytics utan att bryta mot GDPR?

Den 10 juli 2023 antog EU-kommissionen ett nytt datadelningsramverk – Data Privacy Framework – ibland kallat Privacy Shield 2.0. Det nya avtalet adresserar ett antal punkter som framfördes i Schrems II-processen. Den begränsar hur amerikanska underrättelstjänster kan samla in uppgifter och inför nya villkor för insamling av individers data.

Amerikanska företag kan ansluta sig till programmet genom att förbinda sig till att vidta en specifik uppsättning integritetsvärnande åtgärder.
Google LLC satte snabbt upp sig på ramverkets program.

I det stora hela taget innebär det nya avtalet att organisationer åter kan använda Google Analytics för att samla in personuppgifter om EU-medborgare. Men det är inte fritt fram. Företag måste vara medvetna om att grundutmaningen kvarstår eftersom det fortfarande råder stora likheter mellan Data Privacy Framework och Privacy Shield.

Var klämmer skon i det nya datadelningsramverket?

Europeiska dataskyddsstyrelsen (EDPB) och EU-parlamentet har kritiserat avtalet för att det inte går tillräckligt långt i dess ambition att hantera grundproblemet. Det vill säga att rättsväsendet i USA samlar in persondata i bulk. EU-parlamentet har uppmanat EU-kommissionen att omförhandla och utmana avtalet i EU-domstolen:

[The European Parliament] calls on the Commission to act in the interest of EU businesses and citizens by ensuring that the proposed framework provides a solid, sufficient and future-oriented legal basis for EU-US data transfers; expects any adequacy decision, if adopted, to be challenged before the CJEU; highlights the Commission’s responsibility for failure to protect EU citizens rights in the scenario where the adequacy decision is again invalidated by the CJEU.

Ingen egentlig förändring av FISA 702 and EO 12.333

NOYB har, givetvis, också pekat på bristerna i ramverket, inte minst genom att peka på att det inte finns några större ändringar i FISA 702 och EO 12.333.

Enligt NOYB kretsar huvudproblemet kring att USA inte har mjukat upp sina övervakningslagar trots att EU-domstolen framhållit att de inte är proportionella.  

USA kan fortfarande monitorera EU-medborgares data.

Eftersom avtalet trätt i kraft och europeiska lagstiftare har litet inflytande över den amerikanska regeringen, tvivlar Max Schrems på att en sådan reform någonsin kommer att ske.

“We had ‘Harbors,’ ‘Umbrellas,’ ‘Shields,’ and ‘Frameworks’ – but no substantial change in US surveillance law. The press statements today are almost a literal copy of the ones from the past 23 years. Just announcing that something is ‘new,’ ‘robust,’ or ‘effective’ does not cut it before the Court of Justice. We would need changes in US surveillance law to make this work – and we simply don’t have them”, sa Max Schrems. 

Otillräckliga möjligheter för EU-medborgare att klaga

NOYB menar också att möjligheterna för EU-medborgare att söka rättslig prövning är undermålig och pekar på hur beslutsprocesserna hemlighålls.

Institutionerna DPRC och Civil Liberties Protection Officer är endast delvis oberoende från den amerikanska regeringen

och delar många likheter med konceptet Ombudsperson som introducerades av Privacy Shield. Detta är särskilt viktigt eftersom Ombudsperson-mekanismen var en av anledningarna till att EU-domstolen ogiltigförklarade det tidigare ramverket.

I domen kan vi läsa att Privacy Shield Ombudsperson inte är en domstol i den mening som avses i artikel 47 i stadgan. Amerikansk lag ger inte EU-medborgare en skyddsnivå som i huvudsak motsvarar den som garanteras av den grundläggande rättigheten som stadfästs i den artikeln.

Individer kommer inte att ha någon direkt interaktion med domstolen som kommer att granska deras klagomål.

Istället kommer förfarandet att initieras på deras vägnar av deras lokala dataskyddsmyndighet och övervakas av en särskilt utsedd ombudsman.

Motiveringen bakom varje beslut kommer vara hemligsstämplat

Och otillgänglig för klaganden, vilket direkt motsätter sig de standarder som erbjuds av EU:s rättssystem.

NOYB meddelade tidigt sitt nästa steg

“We have various options for a challenge already in the drawer […]. We currently expect this to be back in the Court of Justice by the beginning of next year. The Court of Justice could then even suspend the new deal while it is reviewing the substance of it,” says Schrems.

Franska parlamentsmedlemmen Philippe Latombe har också delat med sig av sina planer på ta det nya datadelningsavtalet till EU-domstolen.

“The text resulting from these negotiations violates the Union’s Charter of Fundamental Rights, due to insufficient guarantees of respect for private and family life with regard to bulk collection of personal data, and the General Data Protection Regulation”, förklarar Latombe.

 

Google Analytics och GDPR – andra problem

Överföringar av personuppgifter till USA var det mest brådskande problemet rörande Google Analytics och GDPR. Men det var inte det enda.

Norges tillsynsmyndighet, Datatilsynet påpekar detta i uttalandet som släpptes strax efter introduktionen av det nya ramverket:

“Det som hittills har varit ett stort problem med Google Analytics verkar ha blivit löst. Med det sagt, utesluter vi inte att det kan finnas andra integritetsutmaningar med verktyget. Den som väljer att använda ett analysverktyg på sin webbplats ansvarar också för att säkerställa att användningen av verktyget överensstämmer med integritetsregler. Överföring av personuppgifter till länder utanför EES är bara ett element som måste kontrolleras.”

Organisationer som vill samla in data via Google Analytics behöver fortfarande noggrant utvärdera hur det kommer att påverka deras möjlighet att följa GDPR.

Ett exempel rör hur Google använder besökares data för sitt eget syfte

Google använder data från Google Analytics för att förbättra sina tjänster.

Som du kan läsa i Googles Integritetspolicy & villkor:

Google uses the information shared by sites and apps to deliver our services, maintain and improve them, develop new services, measure the effectiveness of advertising, protect against fraud and abuse, and personalize content and ads you see on Google and on our partners’ sites and apps.

Om du har Google Analytics-kod på din webbplats och aktiverar datadelning, vet annonsörer i Google Ads dina besökares preferenser baserat på det innehåll de konsumerar. Det gör att att Google i sin tur kan rikta reklam till dessa användare.

I grunden är detta inte så konstigt eftersom det är en affärsmodell som gör det möjligt för Google att erbjuda verktyg som Google Analytics gratis. De får din data, du får verktygen. Men med de utmaningar som påtalats ovan och den tillitsbrist som råder bland människor på webben idag, har satt sökljuset på den risk denna datahungriga affärsmodell genererar.

Det mest integritetsvänliga alternativet kan vara att inaktivera datadelningen i Google Analytics. Nackdelen är att man då kan förlorar tillgång till många funktioner, inklusive retargeting genom Google Ads och rapporter om demografisk data.

För din webbplats över data till USA?

Är du osäker på om din webbplats för över personuppgifter till USA?
Testa vår Consent Management Platform och få svart på vitt hur det ligger till. Det finns ett antal på marknaden, men jag kan givetvis bara gå i god för den vi representerar – vi har till och med en schysst världskarta där du ser var i världen data från dina besökare skickas.