FÄ Consent Mode v2 för att fortsÀtta anvÀnda Google Ads och Analytics utan avbrott i din remarketing.

Är Google Analytics olagligt?

Blogg
Vibeke Specht
IMY tog ett antal beslut rörande Google Analytics, sommaren 2023, vilka bötfÀllde och uppmanade de granskade företagen att sluta anvÀnda webbanalysverktyget? Varför? Vad krÀvs för att anvÀnda Google Analytics utan att bryta mot GDPR och andra dataskyddslagar?
InnehÄllsförteckning

Sommaren 2023 publicerade Integritetsskyddsmyndigheten (IMY) fyra beslut rörande Google Analytics. I det initiala pressmeddelandet skrev IMY:

”Bolag mĂ„ste sluta anvĂ€nda Google Analytics”.

Rubriceringen vÀckte uppmÀrksamhet, och mÄnga dataskyddsexperter undrade om IMY verkligen menade att det nu var förbjudet att anvÀnda vÀrldens största webbanalysverktyg.

NÄgra dagar senare hade rubriken Àndrats till:

”Fyra bolag mĂ„ste sluta anvĂ€nda Google Analytics”.

IMY hade ocksÄ lagt till en mening i brödtexten:

”Granskningarna avser en version av Google Analytics frĂ„n 14 augusti 2020”.

IMY hade sÄledes inte granskat Àrendena utifrÄn GA4, men spelar det nÄgon roll?

För dem som följt Google-Analytics-frĂ„gan ur ett EU-perspektiv  stod det klart att Sverige nu sĂ€llade sig till andra europeiska dataskyddsmyndigheter. Och att frĂ„gan enbart rörde tredjelandsöverföring – det vill sĂ€ga utmaningen att föra över personuppgifter till USA eftersom EU och USA saknade ett datadelningsavtal.

Sverige verkar sĂ„ledes ha varit lite ”sist pĂ„ bollen”.

Tidigare har österrikiska, franska, italienska och norska myndigheter beslutat att anvÀndningen av verktyget, utan ÄtgÀrder, strider mot Dataskyddsförordningen.

Dessutom har Moderbolaget till Google Analytics, Google LLC, har ocksÄ drabbats av mÄngmiljonböter frÄn flera europeiska dataskyddsmyndigheter, inklusive Frankrikes CNIL, Sveriges IMY och Belgiens APD.

LÀs ocksÄ: Vad Àr Schrems II? Kommer det ett Schrems III?

En vecka efter IMY:s beslut fick USA och EU till ett nytt datadelningsavtal, vilket Äter gjorde det enklare att föra över personuppgifter till USA och sÄledes anvÀnda en amerikansk molntjÀnst som till exempel Google Analytics.

Samtidigt hopade sig följdfrÄgorna:

Finns det andra delar av GDPR som försvÄrar anvÀndningen av GA?
Datadelningsavtalet, Data Privacy Framework, hade redan överklagats. Hur lÀnge kommer det nya datadelningsavtalet att hÄlla? Och vad hÀnder om/nÀr det faller?

Men innan vi gÄr in pÄ dessa frÄgor. LÄt oss först kika nÀrmare pÄ vad IMY egentligen sa i sitt beslut?

Vad sa IMY i Google Analytics-besluten?

IMY konstaterade att de fyra företagen inte kunde garantera tillrĂ€ckligt skydd för anvĂ€ndarnas personuppgifter. Men medan tvĂ„  av företagen fick 300 000 SEK respektive 12 miljoner SEK i böter, slapp tvĂ„ sanktionsavgifter helt. 

Anledningen?

De som slapp böter hade vidtagit omfattande Ă„tgĂ€rder pĂ„ de tre omrĂ„den som IMY rĂ€knar. Det betyder att de hade vidtagit avtalsmĂ€ssiga Ă„tgĂ€rder, organisatoriska Ă„tgĂ€rder och tekniska Ă„tgĂ€rder. 

De hade sÄledes försökt, Àven om de hade misslyckats.

Det spelar sÄledes roll att du som företag Àr om dig och kring dig.

  1. AvtalsmÀssiga ÄtgÀrder: Man hade sÀkerstÀllt att det fanns bindande avtal med Google gÀllande tredjelandsöverföring, i detta fall USA. Denna försÀkran baserades pÄ de s.k. standardavtalsklausulerna.

  2. Organisatoriska ÄtgÀrder: Som en del av deras proaktiva strategi hade dessa företag noggrant kartlagt livscykeln för de personuppgifter som behandlas genom webbanalysverktyget.

  3. Tekniska ÄtgÀrder: Tekniska skyddsÄtgÀrder som hade implementerats inkluderade anvÀndning av server-side containers för att kontrollera datatransfer till webbanalysverktyget, samt trunkering av IP-adresser.

Trots dessa anstrÀngningar, pÄpekar Integritetsskyddsmyndigheten (IMY) att ingen av dessa ÄtgÀrder ensamma, eller kombinerade, kan förhindra USA:s underrÀttelsetjÀnst frÄn att fÄ tillgÄng till de överförda personuppgifterna.

Den svagaste lĂ€nken i kedjan var punkt 3 – de tekniska Ă„tgĂ€rderna. Förenklat Ă€r slutsatsen: Det rĂ€cker inte att enbart fokusera pĂ„ IP-adressen. Alla variabler som ensamt eller tillsammans med andra variabler kan identifiera en person mĂ„ste psedonymiseras innan de förs över till Google.

LĂ€s ocksĂ„: Att göra Google Analytics GDPR-sĂ€ker med en reversed proxy-lösning. 

 Företagen bröt sĂ„ledes, enligt IMY, mot  artikel 44 i GDPR. Men IMY valde att inte pĂ„föra sanktionsavgifter, tack vare de omfattande tekniska, organisatoriska och avtalsmĂ€ssiga Ă„tgĂ€rderna företagen vidtagit.

Notera att förutsĂ€ttningen för nĂ„gon som helst överföring eller delning av data bygger pĂ„ att man först har fĂ„tt samtycke frĂ„n varje besökare. 

Google Analytics, GDPR och datadelningsavtalen med USA

Den stora utmaningen med Google Analytics och moderbolaget Google LLC Àr att det Àr ett amerikanskt bolag. Det betyder att den data som samlas in av GA omfattas av amerikanska övervakningslagar.

Amerikanska medborgare vĂ€rnas genom ”Fourth Amendment”, vilken skyddar dem frĂ„n ”orimlig övervakning”. Men individer frĂ„n andra platser i vĂ€rlden, inklusive Europa, omfattas inte av detta skydd.

Den amerikanska staten tillÄter dÀrför deras underrÀttelsemyndigheter att utföra massövervakning av icke-amerikanska medborgare. Det sker med stöd av lagar som Foreign Intelligence Surveillance Act of 1978 (FISA 702) och Executive Order 12.333.

LÀs ocksÄ: Edward Snowden och EU:s visselblÄsningsdirektiv

Varje gÄng personuppgifter om EU-medborgare lÀmnar Europa och förs över till USA finns det sÄledes en risk att USA:s sÀkerhetsbyrÄer kommer Ät denna data. Det skapar en konflikt mellan amerikansk lag och den rÀtt till integritet eller privacy som GDPR och EU:s stadga om grundlÀggande rÀttigheter ger mÀnniskor i EU/EES.

PĂ„ grund av detta mĂ„ste dataöverföringar mellan EU och USA styras av ett sĂ€rskilt avtal som intygar att information om europĂ©er Ă€r lika sĂ€ker i USA som den skulle vara inom EU. Men ett hĂ„llbart avtal kring detta verkar svĂ„rt att fĂ„ pĂ„ plats. De tvĂ„ tidigare avtalen – Safe Harbor och Privacy Shield – har inte klarat en juridisk prövning.

Varför föll Safe Harbour-avtalet?

Safe Harbor frÄn Är 2000 var det första juridiska ramverket som reglerade dataöverföringar mellan EU och USA.

Med Safe Harbor kunde amerikanska företag certifiera sig sjĂ€lva. Listan av företag som förlitade sig pĂ„ Safe Harbor-konceptet bestod av fler Ă€n 5000 företag – inklusive bolag som Facebook och Google.

År 2015 tog Max Schrems, grundaren av integritetsskyddsorganisationen NOYB (None of Your Business), Safe Harbor till ”rĂ€tta”. Det vill sĂ€ga till den irlĂ€ndska dataskyddsmyndigheten. Han gjorde det genom att utmana Facebooks rĂ€tt att föra över data till USA.

Han anklagade techjÀtten för att samla in personlig information frÄn EU-medborgare och skicka den till USA, vilket gjorde den tillgÀnglig för NSA (National Security Agency). Fallet gick hela vÀgen upp till EU-domstolen. 

Den 6 oktober 2015 ogiltigförklarades Safe Harbour.

Fallet blev kÀnt som Schrems I, efter Maxmilian Schrems.

Varför föll Privacy Shield?

Kort efter Safe Harbour gick i stöpet kom ett nytt avtal – Privacy Shield. Men ocksĂ„ det ogiltigförklarades. Vad innebar det för företag som anvĂ€nder Google Analytics?

Privacy Shield var tÀnkt att ersÀtta Safe Harbour, och kom till stÄnd den 12 juli 2016, bara nÄgra mÄnader efter Safe Harbour gick om intet.

Med Privacy Shield hade EU-kommissionen stramat Ät kraven kring sjÀlv-certifieringen. Men det var inte nog, menade Max Schrems och bestred avtalet i EU-domstolen.  Han förklarade att dataöverföringar under det nya avtalet, likt dem bolag som Facebook företog, frÄn EU till USA fortfarande var olagliga.

Juli 2020 beslutade domstolen att ogiltigförklara Privacy Shield-ramverket. Domslutet blev kĂ€nt som Schrems II – Ă„terigen efter Max Schrems.

Hur har företag kunnat anvÀnda Google Analytics ÀndÄ?

Svaret stavas standardavtalsklausuler (förkortas SCC, efter standard contractual clauses, pÄ engelska).

Det Àr ett slags fördefinierade avtalsvillkor som godkÀnts av EU-kommissionen. Med dem kan företag sÀkerstÀlla adekvat dataskydd nÀr de vill skicka personuppgifter frÄn EU till ett land utanför EU som saknar ett datadelningsavtal eller ett sÄ kallat adekvansbeslut frÄn EU. De anvÀnds helt enkelt för att uppfylla GDPR-kraven nÀr personuppgifter behöver skickas till lÀnder som inte anses vÀrna EU-medborgares rÀtt till integritet.

PĂ„ ett sĂ€tt Ă€r SCC lite som att ha och Ă€ta kakan. Och företag som anvĂ€nder sig av standardavtalsklausuler mĂ„ste vara om sig och kring sig. Vilket inte minst var tydlig i de svenska Google Analytics besluten. Det rĂ€cker inte att enbart förlita sig pĂ„ denna juridiska mekansim. Även tekniska och organisatoriska Ă„tgĂ€rder behövs. 

Efter att Privacy Shield ogiltigförklarades kunde företag och organisationer vÀlja att luta sig mot SCC. 

Rent formellt heter det att de nya standardkontraktsklausulerna gÀllde för dataöverföringar frÄn personuppgiftsbitrÀden och personuppgiftsansvariga i EU/EES (som omfattas av GDPR) till bitrÀden och ansvariga utanför EU/EES (som inte omfattas av GDPR).

Stöd för SCC finns alltsĂ„ i Dataskyddsförordningen (GDPR). Och den 4 juni 2021 uppdaterade kommissionen klausulerna – gav dem en make-over som de lĂ€nge hade varit i behov av. De nya klausulerna ersatte nĂ€mligen de gamla som hade antagits under det gamla dataskyddsdirektivet frĂ„n 95/96.

Vad har Schrems II inneburit för dem som anvÀnder Google Analytics?

NÀr datadelningsramverket Privacy Shield ogiltigförklarades försvann i EU, sÄledes det man kallar, ett adekvansbeslut för USA. Och det blev riskfyllt att anvÀnda amerikanska molntjÀnster, som Google Analytics. SÀrskilt eftersom Google fortsatte att förlita sig pÄ de standardavtalsklausuler som fanns innan avtalets upphÀvning. Företag som fortsatte att anvÀnda Google Analytics riskerade dÀrför höga böter och skadat anseende.

Strax efter att Privacy Shield blev ogiltigförklarat lÀmnade NOYB, under Max Schrems ledning, in 101 klagomÄl mot företag som samlade in besöksdata via Google Analytics och Facebook Connect. Detta initierade en dominoeffekt i Europa med en rad olika beslut och klargöranden. 

De följer hÀr:

  • 2020 inrĂ€ttade Den europeiska dataskyddsstyrelsen (förkortat EDPB pĂ„ engelska) en arbetsgrupp för att hjĂ€lpa europeiska myndigheter med en enhetlig strategi för klagomĂ„l.
  • Den 12 januari 2022 publicerade tillsynsmyndigheten i Österrike ett beslut mot en tysk publicist. Beslutet fastslog att anvĂ€nda Google Analytics för att samla in data om EU-medborgare bryter mot GDPR.
  • I april 2022 beordrade CNIL, den franska tillsynsmyndigheten, tre franska webbplatser att sluta anvĂ€nda Google Analytics.
  • Under de kommande mĂ„naderna följde liknande beslut i Italien, Danmark, och Norge.
  • Den hollĂ€ndska tillsynsmyndigheten, som hade skrivit en handbok om hur man anvĂ€nder Google Analytics pĂ„ ett integritetsvĂ€nligt sĂ€tt, meddelade att anvĂ€ndningen av verktyget ”kanske inte Ă€r tillĂ„tet”. Deras motsvarighet i Liechtenstein gav ett liknande utlĂ„tande.
  • Österrike har tagit ett andra beslut i vilken de anger att det inte rĂ€cker att anonymisera IP-adresser för att föra över data till tredjeland.
  • Efter sitt tidigare beslut har Frankrikes CNIL gett reviderade riktlinjer för anvĂ€ndning av Google Analytics. Deras FAQ tyder pĂ„ att EU-organisationer inte kan anvĂ€nda verktyget utan ytterligare skyddsĂ„tgĂ€rder. CNIL pĂ„pekar ocksĂ„ att deras syn pĂ„ Google Analytics ska samordnas med alla europeiska tillsynsmyndigheter.
  • Under tiden arbetade EU-kommissionen och USA:s president Joe Bidens pĂ„ att ta fram ett nytt, ett tredje, datadelningsramverk.

Data Privacy Framework – tredje gĂ„ngen gillt?

Kan man med stöd av det nya datadelningsramverket mellan EU och USA anvÀnda Google Analytics utan att bryta mot GDPR?

Den 10 juli 2023 antog EU-kommissionen ett nytt datadelningsramverk – Data Privacy Framework – ibland kallat Privacy Shield 2.0. Det nya avtalet adresserar ett antal punkter som framfördes i Schrems II-processen. Den begrĂ€nsar hur amerikanska underrĂ€ttelstjĂ€nster kan samla in uppgifter och inför nya villkor för insamling av individers data.

Amerikanska företag kan ansluta sig till programmet genom att förbinda sig till att vidta en specifik uppsÀttning integritetsvÀrnande ÄtgÀrder.
Google LLC satte snabbt upp sig pÄ ramverkets program.

I det stora hela taget innebÀr det nya avtalet att organisationer Äter kan anvÀnda Google Analytics för att samla in personuppgifter om EU-medborgare. Men det Àr inte fritt fram. Företag mÄste vara medvetna om att grundutmaningen kvarstÄr eftersom det fortfarande rÄder stora likheter mellan Data Privacy Framework och Privacy Shield.

Var klÀmmer skon i det nya datadelningsramverket?

Europeiska dataskyddsstyrelsen (EDPB) och EU-parlamentet har kritiserat avtalet för att det inte gÄr tillrÀckligt lÄngt i dess ambition att hantera grundproblemet. Det vill sÀga att rÀttsvÀsendet i USA samlar in persondata i bulk. EU-parlamentet har uppmanat EU-kommissionen att omförhandla och utmana avtalet i EU-domstolen:

“[The European Parliament] calls on the Commission to act in the interest of EU businesses and citizens by ensuring that the proposed framework provides a solid, sufficient and future-oriented legal basis for EU-US data transfers; expects any adequacy decision, if adopted, to be challenged before the CJEU; highlights the Commission’s responsibility for failure to protect EU citizens rights in the scenario where the adequacy decision is again invalidated by the CJEU.“

Ingen egentlig förÀndring av FISA 702 and EO 12.333

NOYB har, givetvis, ocksÄ pekat pÄ bristerna i ramverket, inte minst genom att peka pÄ att det inte finns nÄgra större Àndringar i FISA 702 och EO 12.333.

Enligt NOYB kretsar huvudproblemet kring att USA inte har mjukat upp sina övervakningslagar trots att EU-domstolen framhÄllit att de inte Àr proportionella.  

USA kan fortfarande monitorera EU-medborgares data.

Eftersom avtalet trÀtt i kraft och europeiska lagstiftare har litet inflytande över den amerikanska regeringen, tvivlar Max Schrems pÄ att en sÄdan reform nÄgonsin kommer att ske.

“We had ‘Harbors,’ ‘Umbrellas,’ ‘Shields,’ and ‘Frameworks’ – but no substantial change in US surveillance law. The press statements today are almost a literal copy of the ones from the past 23 years. Just announcing that something is ‘new,’ ‘robust,’ or ‘effective’ does not cut it before the Court of Justice. We would need changes in US surveillance law to make this work – and we simply don’t have them”, sa Max Schrems. 

OtillrÀckliga möjligheter för EU-medborgare att klaga

NOYB menar ocksÄ att möjligheterna för EU-medborgare att söka rÀttslig prövning Àr undermÄlig och pekar pÄ hur beslutsprocesserna hemlighÄlls.

Institutionerna DPRC och Civil Liberties Protection Officer Àr endast delvis oberoende frÄn den amerikanska regeringen

och delar mÄnga likheter med konceptet Ombudsperson som introducerades av Privacy Shield. Detta Àr sÀrskilt viktigt eftersom Ombudsperson-mekanismen var en av anledningarna till att EU-domstolen ogiltigförklarade det tidigare ramverket.

I domen kan vi lÀsa att Privacy Shield Ombudsperson inte Àr en domstol i den mening som avses i artikel 47 i stadgan. Amerikansk lag ger inte EU-medborgare en skyddsnivÄ som i huvudsak motsvarar den som garanteras av den grundlÀggande rÀttigheten som stadfÀsts i den artikeln.

Individer kommer inte att ha nÄgon direkt interaktion med domstolen som kommer att granska deras klagomÄl.

IstÀllet kommer förfarandet att initieras pÄ deras vÀgnar av deras lokala dataskyddsmyndighet och övervakas av en sÀrskilt utsedd ombudsman.

Motiveringen bakom varje beslut kommer vara hemligsstÀmplat

Och otillgÀnglig för klaganden, vilket direkt motsÀtter sig de standarder som erbjuds av EU:s rÀttssystem.

NOYB meddelade tidigt sitt nÀsta steg: 

“We have various options for a challenge already in the drawer [
]. We currently expect this to be back in the Court of Justice by the beginning of next year. The Court of Justice could then even suspend the new deal while it is reviewing the substance of it,” says Schrems.

Franska parlamentsmedlemmen Philippe Latombe har ocksÄ delat med sig av sina planer pÄ ta det nya datadelningsavtalet till EU-domstolen.

“The text resulting from these negotiations violates the Union’s Charter of Fundamental Rights, due to insufficient guarantees of respect for private and family life with regard to bulk collection of personal data, and the General Data Protection Regulation”, förklarar Latombe.

 

Google Analytics och GDPR – andra problem

Överföringar av personuppgifter till USA var det mest brĂ„dskande problemet rörande Google Analytics och GDPR. Men det var inte det enda.

Norges tillsynsmyndighet, Datatilsynet pÄpekar detta i uttalandet som slÀpptes strax efter introduktionen av det nya ramverket:

“Det som hittills har varit ett stort problem med Google Analytics verkar ha blivit löst. Med det sagt, utesluter vi inte att det kan finnas andra integritetsutmaningar med verktyget. Den som vĂ€ljer att anvĂ€nda ett analysverktyg pĂ„ sin webbplats ansvarar ocksĂ„ för att sĂ€kerstĂ€lla att anvĂ€ndningen av verktyget överensstĂ€mmer med integritetsregler. Överföring av personuppgifter till lĂ€nder utanför EES Ă€r bara ett element som mĂ„ste kontrolleras.”

Organisationer som vill samla in data via Google Analytics behöver fortfarande noggrant utvÀrdera hur det kommer att pÄverka deras möjlighet att följa GDPR.

Ett exempel rör hur Google anvÀnder besökares data för sitt eget syfte

Google anvÀnder data frÄn Google Analytics för att förbÀttra sina tjÀnster.

Som du kan lÀsa i Googles Integritetspolicy & villkor:

“Google uses the information shared by sites and apps to deliver our services, maintain and improve them, develop new services, measure the effectiveness of advertising, protect against fraud and abuse, and personalize content and ads you see on Google and on our partners’ sites and apps.”

Om du har Google Analytics-kod pÄ din webbplats och aktiverar datadelning, vet annonsörer i Google Ads dina besökares preferenser baserat pÄ det innehÄll de konsumerar. Det gör att att Google i sin tur kan rikta reklam till dessa anvÀndare.

I grunden Àr detta inte sÄ konstigt eftersom det Àr en affÀrsmodell som gör det möjligt för Google att erbjuda verktyg som Google Analytics gratis. De fÄr din data, du fÄr verktygen. Men med de utmaningar som pÄtalats ovan och den tillitsbrist som rÄder bland mÀnniskor pÄ webben idag, har satt sökljuset pÄ den risk denna datahungriga affÀrsmodell genererar.

Det mest integritetsvÀnliga alternativet kan vara att inaktivera datadelningen i Google Analytics. Nackdelen Àr att man dÄ kan förlorar tillgÄng till mÄnga funktioner, inklusive retargeting genom Google Ads och rapporter om demografisk data.

För din webbplats över data till USA?

Är du osĂ€ker pĂ„ om din webbplats för över personuppgifter till USA?
Testa vĂ„r Consent Management Platform och fĂ„ svart pĂ„ vitt hur det ligger till. Det finns ett antal pĂ„ marknaden, men jag kan givetvis bara gĂ„ i god för den vi representerar – vi har till och med en schysst vĂ€rldskarta dĂ€r du ser var i vĂ€rlden data frĂ„n dina besökare skickas.

Testa nu!

KĂžbmagergade 19,
1150 Copenhagen K, Denmark
VAT: DK-38758292

Facebook Cookie Information Linkedin Cookie Information Youtube Cookie Information

RESURSER

PRODUKTER

FÖRETAG

KĂžbmagergade 19,
1150 Copenhagen K, Denmark
VAT: DK-38758292
Connection with Cookie Information on Facebook
Connection with Cookie Information on LinkedIn
Connection with Cookie Information on Youtube