Google Analytics och andra externa webbplatsverktyg utmanas rättsligt

Den 22 december 2021 fattade den österrikiska dataskyddsmyndigheten ett tillsynsbeslut om Google Analytics. Beslutet fick stor uppmärksamhet den 13 januari 2022 efter att det publicerats av den ideella organisationen Noyb (None of your business). I beslutet drog den österrikiska dataskyddsmyndigheten slutsatsen att en österrikisk webbplats bröt mot dataskyddsförordningen GDPR genom att använda Google Analytics.

Advokatfirman Covington har skrivit en kort sammanfattning av den österrikiska dataskyddsmyndighetens bedömning att Googles standardavtalsklausuler och kompletterande åtgärder var otillräckliga. Så länge Google trots kryptering med mera kunde få tillgång till online-identifierare (indirekta personuppgifter) i klartext var de kompletterande åtgärderna inte effektiva enligt GDPR.

Den norska dataskyddsmyndigheten, Datatilsynet har varnat webbplatsägare för att det kan vara olagligt att använda Google Analytics (och många andra webbplatsverktyg). I många fall kan användarens IP-adress fortfarande komma kopplas till dennes konto via cookies.

– Många verktyg kan vara olagliga att använda, och då måste webbplatserna ta bort dem omedelbart. I allvarliga fall finns det risk för sanktioner från Datatilsynet, och eftersom det är så mycket uppmärksamhet kring dessa frågor nu förväntar vi oss att få fler klagomål, säger Tobias Judin, chef för Datatilsynets internationella sektion.

Som Tech Crunch rapporterar kritiserade Europeiska datatillsynsmannen Europaparlamentet i början av januari 2022. Datatillsynsmannen kritiserade parlamentets webbsida för bokning av Covid 19-tester. Sidan innehöll kod som integrerade Stripe (en betaltjänstleverantör) och Google Analytics, som alla överförde data till USA utan tillräckliga skyddsåtgärder. Anmärkningsvärt nog integrerades Stripe trots att webbplatsen inte krävde betalning för att boka tester. Stripe hade lagts till av en extern leverantör som hade kopierat koden från en testsida.

Även externa teckensnitt och nätverk för innehållsleverans ifrågasätts.

I ett nyligen publicerat fall från Tyskland framgår det att analysverktyg och betalningstjänster inte är de enda typer av externa webbresurser som kan komma ifrågasättas rättsligt.

The Register rapporterar att en domstol i München har beslutat att en webbplatsägare måste betala 100 euro i skadestånd till en besökare på en webbplats. Webbplatsen tvingade besökarens webbläsare att ladda ner typsnitt från Googles servrar för att kunna visa sidan.

Det är vanligt att webbplatser avsiktligt utformas så att delar av innehållet tillhandahålls av externa parter. En webbplats kan använda sig av kantmoln eller innehållsleveransnätverk för att webbplatsen ska laddas snabbare eller för att minska belastningen på webbservern. Ett exempel på detta är användningen av Vimeo eller liknande nätverk för att leverera videoinnehåll.

Vidare rapporterar The Register att denna webbplats använde Google Fonts, ett externt bibliotek med typsnitt som levererades via Googles nätverk för innehållsleverans. När någon besökte webbplatsen laddade webbläsaren ner typsnitten från Googles servrar, som registrerade besökarens IP-adress.

The Register nämner att omkring 50 miljoner webbplatser världen över använder Google Fonts som levereras via Googles innehållsnätverk. I artikeln konstateras att domstolen i München ansåg att denna praxis är oacceptabel enligt tysk lag och GDPR, eftersom typsnitten i Google Fonts biblioteket också kan levereras direkt av webbservern.

Dessa beslut visar att användningen av externa element/funktioner måste övervägas noga. Det kan också vara överraskande för många, när man ser hur många webbplatsverktyg, utöver externa analysverktyg och betalningsförmedlare, som faktiskt samlar in och överför personuppgifter.

Det kan vara bra att känna till att många WordPressteman är förinställda på att använda Google Fonts som servas från Googles servrar. En hemsideadministratör som infogar en karta eller CAPTCHA från Google eller en annan leverantör kan också behöva undersöka om det leder till att personuppgifter delas med leverantören.

Länkar:

Datatilsynet nyhet från 26 januari 2022

Advokatfirman Covingtons blogginlägg den 14 januari 2022

Tech Crunchs artikel 10 januari 2022

Artikel från The Register 31 januari 2022.

Google Maps FAQ

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart