Användandet av Google Analytics är olagligt enligt nya myndighetsbeslut

Efter beslut från både Österrikes och Frankrikes motsvarighet till Integritetsskyddsmyndigheten bryter användningen av verktyget Google Analytics mot GDPR. Vad innebär det för svenska företag som använder Google Analytics?

Vad innebär besluten?

Österrikes dataskyddmyndighet Datenschutzbehörd (DSB) var först ut att i januari 2022 besluta att en kontinuerlig användning av verktyget Google Analytics på en österrikisk hemsida inte uppfyllde den skyddsnivå som krävs enligt artikel 44 GDPR. I februari 2022 beslutade den franska motsvarigheten Commission Nationale de l'Informatique et des Libertés (CNIL) att även franska hemsidor som använder sig av Google Analytics bryter mot lagen. Innehavarna till hemsidorna som använder sig av Google Analytics anses vara ansvariga för lagbrotten med det är ännu oklart vilka påföljderna kommer bli i de olika fallen. Myndigheterna avser dock att granska Google Analytics närmare och komma med ett separat beslut specifikt gällande verktyget.

Bakgrund GDPR & Schrems

Skyddet av personuppgifter och respekten för privatlivet är grundläggande rättigheter som finns reglerande i artikel 16 i fördraget om EU:s funktionssätt (EUF-fördraget) samt artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna. Därutöver reglerar artikel 45 GDPR mer specifikt gällande dataöverföringar till länder utanför EU/EES och ställer upp ett krav på ”adekvat skyddsnivå”. 

Bakgrunden till besluten från myndigheterna är ett avgörande från EU-domstolen som fått namnet ”Schrems II” (C-311/18). EU-domstolen slog fast att det avtal som EU och USA hade, Privacy Shield-avtalet, inte uppnådde kraven för skydd för personuppgifter enligt GDPR. Det främsta skälet till underkännandet är att de federala övervakningslagarna i USA ger amerikanska myndigheter och regeringen tillgång till data hos privata aktörer utan ge någon inblick eller transparens gällande vilken information som förmedlats vidare. I praktiken innebar det att större tech-företag uppdaterade sina avtal med standardklausuler som EU-kommissionen tagit fram för att täcka upp för bristerna. Dessa standardklausuler uppdaterades den 4 juni 2021, men det är tillåtet att använda den tidigare versionen av klausulerna fram till den 27 december 2022.

Det finns enligt DSB två anledningar till att Google Analytics och de standardklausuler som reglerar dataskydd inte anses uppfylla kraven på skyddsnivån för dataskydd. För det första är Google föremål för övervakning av amerikanska underrättelsetjänster. För det andra är de åtgärder som vidtagits utöver standardklausulerna inte effektiva nog att undanröja möjligheterna till övervakning och åtkomst för amerikanska underrättelsetjänster.

Det är den ideella organisationen NOYB – European Center for Digital Rights som ligger bakom anmälningarna till dataskyddsmyndigheterna i Österrike och Frankrike. Noyb har skickat in totalt 101 anmälningar till myndigheter med syftet att få liknande beslut fastställda runt om i EU. Sverige är inget undantag och därför är det troligtvis bara en tidsfråga tills vi får ett liknande beslut i Sverige som påverkar svenska företag.

Behöver jag vidta några åtgärder?

Använder du Analytics idag är vårt råd är att förbereda dig på ett beslut från Integritetsskyddsmyndigheten, som troligen kommer att komma till samma slutsats som de österrikiska och franska motsvarigheterna gällande frågan. Ett sätt att förbereda sig kan vara att se över användningen av Google Analytics, och då speciellt om det är möjligt att inom eller utanför verktyget anonymisera IP-adresserna innan de skickas till Google. Alternativt kan andra lösningar till Analytics som passar din verksamhet utvärderas.