Integritetsskyddsmyndigheten (IMY) har nyligen avslutat sin granskning av fyra företag som använt Google Analytics för att föra statistik över sina besökare. Utredningen startades efter klagomål från intresseorganisationen None of Your Business (NOYB), som hävdade att fyra företag olovligen överförde personuppgifter till USA. De undersökta företagen är CDON, Coop, Dagens Industri och Tele2.

Schrems II domen och GDPR
Granskningen genomfördes med utgångspunkt i EU-domstolens dom i Schrems-målet II. Enligt GDPR (General Data Protection Regulation) får personuppgifter endast överföras till tredje land utanför EU/EES om EU-kommissionen har fastställt att landet i fråga tillhandahåller en adekvat nivå av dataskydd. 

I Schrems II-domen fann dock EU-domstolen att USA inte tillhandahåller en sådan adekvat skyddsnivå, eftersom amerikanska övervakningslagar tillåter amerikanska myndigheter att  övervaka icke-amerikaner i en omfattning som går utöver vad som är acceptabelt i en rättsstat och demokrati (utifrån EU-rättens mått). 

IMY:s slutsatser och ingripande
IMY:s utredning visade att de uppgifter som överfördes till USA via Googles analysverktyg var personuppgifter eftersom de kunde sammankopplas med andra unika uppgifter som överförts.

Google Analytics använder unika identifierare som lagras i cookies. När dessa kombineras med webbadressen och HTML-titeln på den besökta webbplatsen, information om webbläsaren, operativsystem, skärmupplösning, språkinställningar och datum och tid för åtkomst samt användarens IP-adress, kan en detaljerad profil av en individ skapas. När denna information kombineras kan den användas för att identifiera en specifik individ, vilket gör uppgifterna personligt identifierbara.

I IMY:s beslut betonas att det är irrelevant för den rättsliga bedömningen om företaget har för avsikt att använda den tillgängliga informationen för att identifiera en individ. Den rättsliga bedömningen fokuserar i stället på om uppgifterna rent objektivt skulle kunna användas för att identifiera någon. 

IMY fann också att de tekniska skyddsåtgärder som bolagen vidtagit, såsom kryptering, inte var tillräckliga för att säkerställa en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom EU/EES. Anledningen till detta är att Google enligt amerikansk lag är skyldigt att lämna ut krypteringsnycklarna till de amerikanska myndigheterna. Användningen av kryptering skulle därför inte hindra amerikanska myndigheter från att få tillgång till uppgifterna. 

IMY påförde därför Tele2 en administrativ sanktionsavgift på 12 miljoner kronor och CDON en sanktionsavgift på 300 000 kronor. De övriga två företagen, Coop och Dagens Industri, beordrades att sluta använda verktyget.

Konsekvenser för andra företag
”De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics” säger Sandra Arvidsson, den jurist som ledde utredningen, i ett pressmeddelande från IMY. 

Läs mer

IMY pressmeddelande, ”Fyra bolag måste sluta använda Google Analytics”, 3 juni 2023

Forum för dataskydd ”Skyddet för den personliga integriteten ställs mot diabetesvård, 26 augusti 2022 (artikeln nämner lagkrocken mellan amerikansk och svensk rätt)