Igår den 3 juli lämnade IMY (Integritetsmyndigheten) besked i fyra tillsyner för dataöverföring av personuppgifter till tredje land. CDON, Coop, Dagens Industri och Tele2 är de bolag som blivit granskade. Det är den österrikiske intresseorganisationen NYOB som rapporterat olovlig dataöverföring genom verktyget Google Analytics (Universal Analytics) från den 14 augusti 2022. Dagens Industri och Coop klarade sig från sanktionsavgifter; CDON får däremot 300 000 kr i sanktionsavgift och Tele2 på 12 miljoner kronor (baserat till stor del på omsättningen).
Utredning om vad som är personuppgifter
Till grund för besluten har det utretts huruvida personuppgifter överförts till tredje land (USA). IMY meddelar att anonymisering av IP-nummer (genom förkortning) eller att skriva över IP-nummer inte är en tillräcklig åtgärd då de menar att det finns möjlighet att identifiera individer genom att kombinera med andra datapunkter i de anrop som sker till Google Analytics (kopplat till användarens teknik, sidan som besöks och de identifierare Google själva sätter). Vidare har de utrett identifiering genom av att vara inloggad på Google-konto, och menar här på att Google som krypterat uppgifterna besitter möjligheten att få ut den i klartext.
Inga sanktionsavgifter för Dagens Industri och Coop
Inga sanktionsavgifter ställs mot Dagens Industri och Coop som hade tagit säkerhetsåtgärder i en vidare utsträckning, men som här inte anses tillräckliga. De ska sluta använda den versionen av verktyget (Universal Analytics, GA3), eller vidta tillräckliga säkerhetsåtgärder inom en månad efter att besluten vunnit laga kraft. Coop förmedlade data till Google Analytics genom en server side-uppsättning som fick agera proxy, där IP ersattes med ett och samma generiska innan datan överfördes till Google. Dagens Industri hade särskilt spårningen av sidvisningar från IP-nummer samt hashade IP och cookievärden på egen server som de rapporterade till Google tillsammans med spårningen av sidvisningar.
Även Google Analytics 4 påverkas
Besluten som tagits gäller för föregående version av Google Analytics, men där underlaget för utredningen av vad som är personuppgifter gäller lika för GA4. Vi kan därmed inte se att användningen av Google Analytics 4 kan användas förenligt med GDPR om man inte tar ytterligare säkerhetsåtgärder mot vad som beskrivits i dessa tillsyner. Knowit skriver däremot i deras blogginlägg att det viskas om att EU-kommissionen i juli kommer bestämma sig för om USA får ett beslut om adekvat skyddsnivå. Som då också påverkar bedömningen av användning av Google Analytics.
Om man vill fortsätta använda Google Analytics med hänsyn tagen till dessa tillsyner, kan man vidta ytterligare åtgärder där man genom en proxy-lösning tar bort och anonymiserar data som delas med Google Analytics för att minimera identifiering likt den franska tillsynsmyndigheten rapporterat. Det är en väg att utvärdera i relation till nackdelar som det medför när vi utesluter viss data.
Man ska även ta med sig att besluten kan överklagas inom tre veckors tid och att Förvaltningsrätten då kan pröva fallen på nytt. Så än är inte sista ordet sagt om användning av Google Analytics.
Måste man byta system?
Nej, men man måste ta skyddsåtgärder i en vidare utsträckning mot vad som beskrivs i tillsynerna. En proxy lösning för Google Analytics har beskrivits här av franska tillsynsmyndigheten.
Vilka system finns?
Det finns en uppsjö av olika system på marknaden. Matomo analytics är det system som tagit stafettpinnen när det kommer till skyddsåtgärder i relation till GDPR. Andra europeiska aktörer som till exempel Siteimprove kan också vara ett alternativ. Du kan också utreda amerikanska alternativ där bolagen inte betraktas som föremål för övervakning, för att sedan se vilka andra potentiella säkerhetsluckor som behöver täppas.
Vad är Maias rekommendation?
Vi rekommenderar alla våra kunder att plocka bort script för Universal Analytics, de som legat till grund för utredningen. Per den 1 juli i år ska Google ändå inte ge stöd för versionen, men vi har sett och det rapporteras av andra aktörer att vissa fortfarande samlar in viss data. Samt att det är onödigt att göra dessa anrop då stödet för rapporteringen försvinner.
För vidare utredning av Google Analytics som alternativ framåt, tar vi gärna en första dialog och där vi rekommenderar att ni tar in legala resurser för att säkerställa lösningen. Vill ni se över alternativa system och ta hjälp för implementation, kan vi så klart assistera.
Vi vill däremot poängtera att dessa beslut från IMY nu lämnats under svensk sommarsemester, där företag har en begränsad möjlighet att arbeta med detta under juni till augusti.
Vad rekommenderar IMY?
I tillsynerna för Dagens Industri och Coop skrev IMY att de åläggs sluta använda den version av Google Analytics som låg till grund för utredningen, om inte ytterligare säkerhetsåtgärder tas.
“De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, säger Sandra Arvidsson.” – imy.se
Vad kan man få i böter?
När man överträder artikel 44 kan administrativa sanktionsavgifter påföras på upp till 20 miljoner EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst.
För Tele2 kunde det högsta sanktionsbelopp fastställas till cirka 1,1 miljarder kronor. IMY bedömde de aktuella överträdelserna är av låg allvarlighetsgrad och att sanktionsavgiften därför bör sättas lågt i förhållande till det aktuella maxbeloppet. De får betala 12 miljoner kronor.
Vad exakt är det man bryter mot när man använder GA?
Du bryter mot artikel 44 som berör säker dataöverföring av personuppgifter till tredje land (länder utanför EU/EES). Vid användning av verktyget Google Analytics för du över personuppgifter till en leverantör som är föremål för amerikansk underrättelsetjänst. Ingen enskild uppgift i fallen räknades som en personuppgift, men där utredningen pekar på att de kan kombineras för att identifiera en användare. Att anonymisera IP-nummer är därmed inte en tillräcklig skyddsåtgärd för att använda Google Analytics.
Är det ett problem om man har server side mätning?
Ja, om du gör anrop till Google Analytics från egen server där IP-nummer är borttaget eller anonymiserat, anses det inte som tillräcklig skyddsåtgärd. Du behöver minska mängden data som förmedlas och som kan användas till underlag för identifiering, likt den franska tillsynsmyndigheten beskrivit. Du kan därmed använda Google Analytics med server side-spårning som proxy, givet att anropen till Google är tillräckligt anonymiserade.
Vilka olika vägar finns framåt?
Antingen sitter du lugnt i båten, med hänsyn tagen till att det berör föregående version av Google Analytics och där bolagen nu har möjlighet att överklaga inom en tre veckors period för att sedan kunna bli omprövat hos Förvaltningsrätten.
Är du osäker kan du ta hjälp av legala resurser för att se om du ska plocka bort Google Analytics-scripten här och nu. Däremot kan du, vilket vi också rekommenderar våra kunder, att ta bort Universal Analytics-script direkt.
Du kan inleda en utredning för att använda Google Analytics genom proxy, eller implementera ett nytt analysverktyg, med vetskap om att många leverantörer kommer ha svårt att svara på detta under semestermånaderna (oss inkluderat). Vi på Maia kan hjälpa dig med en sådan utredning, eller implementation av nytt system.