Efter granskning av CDON, Tele2, Coop och Dagens Industri fattade IMY, i slutet av juni, beslut om rekordhög sanktionsavgift till Tele2 om 12 miljoner kr och CDON om 300 000 kronor. Detta för olovligt användande av Google Analytics. Coop och Dagens Industri förelades att upphöra med användningen av Google Analytics.
Bakgrund
Alla verksamheter som behandlar personuppgifter måste göra det i enlighet med Dataskyddsförordningen (GDPR). Personuppgifterna får överföras fritt inom EU och EES såvida reglerna i övrigt efterlevs. Utöver länder inom EU och EES får även personuppgifter överföras till andra länder - under förutsättning att EU-kommissionen bedömer att landet har motsvarande skyddsnivå (art 44 och art. 45 GDPR).
USA har tidigare varit ett sådant land som kommissionen bedömt uppfyller motsvarande krav på skydd för personuppgifter. Däremot fastslog EU-domstolen i C-311/18 Schrems II att personuppgifter som lagrades i USA inte uppfyllde kraven som ställs enligt GDPR. Anledningen var att de amerikanska lagarna hade flera brister. Bland annat menade EU-domstolen att de amerikanska säkerhetslagarna (i synnerhet US Foreign Intelligence Surveillance ACT) gav alltför långtgående möjligheter för myndigheter att övervaka företag som importerar personuppgifter från EU till USA.
Resultatet av den så kallade Schrems II-domen är att företag inte kan förlita sig på EU-kommissionens standardavtalsklausuler utan måste själva kontrollera integritetsskyddet för att säkerställa att landet erbjuder ett likvärdigt skydd som EU- och EES-länderna. Ett företag kan alltså inte längre behandla personuppgifter i USA med stöd av art. 45 GDPR. Istället måste företaget säkerställa att överföringen omfattas av lämpliga skyddsåtgärder (art. 46).
Integritetsskyddsmyndigheten initierade en granskning av fyra svenska bolag efter klagomål från en intresseorganisation. Organisationen menade att företaget använde sig av Google Analytics på ett sätt som strider mot GDPR.
Enligt artikel 4.1 GDPR är personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikationer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Ordet “indirekt” markerar att det inte är nödvändigt att informationen i sig gör det möjligt att identifiera den registrerade för att det ska utgöra en personuppgift (C-582/14 Breyer). Varje typ av upplysning kan utgöra en personuppgift om den avser en bestämd person. För att avgöra om något avser en bestämd person ska upplysningen, på grund av sitt innehåll, syfte eller verkan vara knuten till personen (jfr C-434/16 Nowak)
Integritetsskyddsmyndigheten poängterar att även IP-adresser kan utgöra personuppgifter. Dynamiska IP-adresser utgör personuppgifter, om den som behandlar uppgifterna har en laglig möjlighet att identifiera vem som innehar internetanslutningen med hjälp av ytterligare upplysningar som tredje man förfogar över (C-597/19 M.I.C.M).
Integritetsskyddsmyndigheten bedömde att IP-adresserna kan kombineras med andra uppgifter, och att de då tillsammans gör det möjligt att identifiera individuella besökare. Myndigheten poängterar i beslutet att det inte krävs att vare sig företaget eller Google haft för avsikt att identifiera besökaren - endast möjligheten att göra så är tillräckligt.
Coop och Dagens Industri hade vidtagit mer åtgärder än CDON och Tele2, varför de endast meddelades föreläggande om att upphöra med användningen av Google Analytics. Tele 2 meddelades däremot en sanktionsavgift om 12 miljoner kronor och CDON en avgift om 300 000 kronor.
Det är inte första gången som företag fått bakläxa för sin användning av Google Analytics. I både Frankrike, Österrike och Italien har myndigheter meddelat företag föreläggande om att upphöra med sin användning av analysverktyget. Vad som däremot skiljer det svenska beslutet från tidigare beslut meddelade i EU är att svenska integritetsskyddsmyndigheten, i två fall, valde att förena föreläggandet med sanktionsavgifter.
Endast sju dagar efter besluten från IMY kom beslutet om DPF som möjliggör överföring av personuppgifter till företag etablerade i USA förutsatt att de ansluter sig till DPF. Google är ett av bolagen som har anslutit sig till DPF vilket innebär att det i dagsläget är möjligt för europeiska företag att använda sig av Google Analytics. DPF syftar till att ersätta det tidigare Privacy Shields-avtalet som ogiltigförklarades av EU-domstolen genom Schrems II-domen. Vad som bör poängteras är att det inte är garanterat att DPF kommer överleva en granskning av EU-domstolen, varför de svenska besluten fortfarande kan vara relevanta att beakta. Processen att få det prövat i EU-domstolen tar däremot tid, och ett sådant beslut beräknas, som tidigast, komma om några år. Under tiden är det alltså möjligt för svenska företag att föra över data till amerikanska bolag under förutsättning att de är anslutna till DPF.
Under sommaren har även EU-domstolen meddelat dom mot jättebolaget Meta. Anledningen är att EU-domstolen anser att Meta har försökt kringgå reglerna om samtycke enligt GDPR. Istället för att begära ett uttryckligt samtycke för att behandla personuppgifter, har Meta lagt in samtycket för riktad marknadsföring i sina allmänna villkor. För att få använda sig av Metas tjänster måste alltså användaren samtycka till att ta emot riktade annonser.
Domen innebär att Meta nu måste be om uttryckligt samtycke från sina användare för att få visa riktade annonser i användarens flöde. Utöver detta ska även Meta betala böter på 390 miljoner euro för GDPR-överträdelsen. För alla som arbetar med digital marknadsföring innebär detta att det kan bli dyrare att annonsera på Metas plattformar.
Det är inte enbart på GDPR-frågor som aktualiserats under sommaren. Post- och telestyrelsen (nedan kallat PTS) inledde under föregående år en granskning mot Tele2, Folkhälsomyndigheten, Konsumentverket och Swedbank. I sommar förelades företagen att inkomma med yttranden med anledning av att PTS misstänker att reglerna inte efterlevs.
Vad är cookies?
Cookies används av företag för att lagra information om hur användare interagerar med deras webbplats. En “cookie” är en fil som skapas när du besöker en webbplats och som lagras i din webbläsare. Nästa gång du besöker samma webbplats identifieras du som besökare, vilket bland annat möjliggör för dig som användare att fortsätta vara inloggad med ditt konto på en viss hemsida.
Cookies regleras genom lag (2022:482) om elektronisk kommunikation. Av 9 kap. 28 § LEK framgår att cookies endast får lagras eller hämtas om användaren får information om behandlingen och samtycker till den. Av PTS granskning framgår att det bedöms vara svårt för användare att återkalla samtycke som tidigare givits. Myndigheten menar även att det finns brister i den information som tillhandahålls vad gäller ändamålen för behandlingen. PTS betonar i sitt beslut att reglerna om cookies gäller för alla, även webbplatser med få besökare.
Vad betyder detta för dig?
Troligen är det många företag som i dagsläget inte följer rådande krav. PTS framhäver att de kommer inleda ytterligare tillsynsärenden i framtiden. Om ni använder er av cookies på er webbsida är det viktigt att dessa regler efterlevs. Genom Legalbuddy Plus hjälper vi er ta fram en kvalitetssäkrad cookie policy som är förenlig med gällande lagkrav.
Vi är medvetna om den huvudbry som GDPR orsakar. Som tur är har vi på Legalbuddy jurister som är specialiserade på dataskydd och som hjälper er ta fram processer för hantering av personuppgifter. Boka in ett gratis coachingmöte med en av våra experter idag.
Genom att ha ett kvalitetssäkrat biträdesavtal, en anpassad privacy notice och en inventeringsmall på plats ser ni till att er behandling av personuppgifter är förenlig med gällande dataskyddsregler. Vi hjälper er, boka ett förutsättningslöst möte här.
Ställ en fråga inom alla affärsjuridiska rättsområden.
Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!