Att använda Google Analytics kan bryta mot GDPR

2022-01-20 06:00  

Det dominerande analysverktyget kan i praktiken bli olagligt att använda inom EU. Och allt pekar på att fler amerikanska tjänster kommer att möta samma öde i skuggan av Schrems II-domen.

Uppdaterad

Google Analytics är det ledande verktyget för att hålla koll på besökstrender på hemsidor. Det används brett av alltifrån mediehus till e-handelsföretag världen över. Men nu kan tjänsten i praktiken bli förbjuden inom EU.  

Förra veckan kom ett beslut från den österrikiska dataskyddsmyndigheten Datenschutzbehörde, DSB, som menar att ett företag som använt sig av Google Analytics har brutit mot artikel 44 i dataskyddsförordningen gdpr.  

Beslutet är baserat på en anmälan som har gjorts av organisationen NOYB (None of your business) som grundats av juristen och aktivisten Max Schrems. Totalt har de gjort 101 anmälningar i flertalet EU-länder, och här i Sverige pågår just nu sex sådana tillsynsärenden hos Integritetsskyddsmyndigheten, IMY. 

Anmälningar om Google Analytics gäller webbplatser för Coop, Tele2, Dagens Industri och CDON. Dessutom har NYOB anmält Familjeliv och Synonymer.se för att de använder sig av den liknande tjänsten Facebook Connect. 

– Vi har inte fattat beslut, men det bör komma inom kort, säger juristen Olle Pettersson som håller i utredningarna på IMY.

Läs mer: Ta bort dig från nätet – så minskar du dina spår på internet

Svenskt beslut väntar

Men mycket tyder på att de svenska besluten kommer att gå i linje med det österrikiska. Förra året tillsatte Europeiska dataskyddsstyrelsen (EDPB) en arbetsgrupp för att säkerställa enhetliga bedömningar i unionens länder. Där ingår både svenska IMY och den österrikiska motsvarigheten DSB. 

– Sannolikt kommer IMY att bekräfta det österrikiska beslutet, säger Daniel Remnert som är jurist på it-konsultföretaget Knowit. 

Tror ni att beskedet blir detsamma för Facebook Connect? 

– Mest troligt kommer det att bli samma utfall, eftersom det är en liknande tjänst med liknande teknik och upplägg, säger juristkollegan Johanna Grundberg.

Läs mer: Ny Teknik Insight: Schrems II – striden om din personliga data

Personuppgifter lämnar EU

Så varför bryter Google Analytics mot gdpr? När ett företag använder tjänsten för att logga sina besökare skickas deras ip-adresser och annan information som kan klassas som personuppgifter vidare till Googles servrar i USA.  

Enligt gdpr krävs ett så kallat överföringsverktyg för att flytta personuppgifter till ett land utanför EU eller EES. 

Tidigare användes Privacy Shield-avtalet för att möjliggöra överföring av personuppgifter till USA. Men 2020 ogiltigförklarades det av EU-domstolen i Schrems II-domen, uppkallad efter ett tidigare mål som NOYB-grundaren drivit. Detta för att amerikansk lag (FISA) gör det möjligt för landets underrättelsetjänst att begära ut persondata om europeiska medborgare. 

Kvar finns då ett verktyg som kallas för standardavtalsklausuler (SCC). Men, den österrikiska dataskyddsmyndigheten menar att detta inte räcker. Ytterligare skyddsåtgärder behövs för att säkerställa att personuppgifter inte hamnar hos exempelvis amerikansk underrättelsetjänst.  

Google kommenterade på onsdagen beslutet som togs i Österrike, i ett blogginlägg av Kent Walker, chef för global affairs hos Google och moderbolaget Alphabet. I inlägget spelar Kent Walker ned betydelsen av det österrikiska beslutet, och förespråkar en ny, snabb lösning för att få fram ett avtal om dataöverföring mellan EU och USA.

Juristerna på Knowit håller på att undersöka om det går att genomföra åtgärder för att europeiska bolag ändå ska kunna använda Google Analytics. Men som tjänsten är utformad i dag ser det mörkt ut. 

– Vår bedömning just nu är att det är dags att börja kolla på alternativa verktyg eller lösningar som innebär att personuppgifter inte skickas i klartext till tredje land (utanför EU/EES reds. anm.), säger Daniel Remnert. 

IMY kan inte ge några fingervisningar innan de har fattat beslut i sina tillsynsärenden, men hänvisar till de riktlinjer som de tagit fram i samarbete med Europeiska dataskyddsstyrelsen.  

– Vi förutsätter att man använder sig av rätt verktyg när man för över personuppgifter till tredje land, säger Olle Pettersson på IMY.

Läs mer: Så surfar du mer anonymt på nätet (hejdå Chrome?)

Fler tjänster kan förbjudas

Om både Facebook Connect och Google Analytics döms ut finns all anledning att tro att tjänster från flera andra amerikanska företag kommer att bli problematiska att använda. 

Organisationen NOYB säger i ett uttalande att de ser två vägar framåt. Antingen måste USA garantera att utländska medborgares persondata är säkra hos amerikanska företag, eller så måste personuppgifterna stanna på europeisk mark. 

– I förlängningen behöver vi antingen ordentligt skydd i USA, annars kommer det att sluta med att vi använder olika produkter i USA och EU. Jag skulle föredra ett bättre skydd i USA, men det är upp till amerikanska lagstiftare – det kan inte vi i EU göra något åt, säger Max Schrems själv i ett uttalande.

Uppdatering: Artikeln kompletterades med uppgift om Googles kommentar om beslutet i Österrike.

Simon Campanello

Mer om: Google GDPR

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt