GDPR: Google Analytics

Stockholm, 5 juli. IMY (Integritetskyddsmyndigheten) gick i veckan ut och meddelade att de har granskat totalt fyra bolag som har använt sig av Google Analytics, två av dessa har erhållit sanktionsavgifter. Bolagen som myndigheten har granskat är: Tele2, CDON, Dagens Industri och Coop.

GDPR Lagen

GDPR står för General Data Protection Regulation och är en förordning inom den europeiska unionen som trädde i kraft den 25 maj 2018. GDPR ämnar till att skydda den personliga integriteten och dataskyddet för EU-medborgare. När man använder sig av vår kommunikationsplattform SecureAppbox Connect så kan man alltid vara säker på att man lever upp till både GDPR samt övriga regulatoriska krav och dataskyddslagar.

 

Granskning

IMYs granskning avser en version av Google Analytics som är ifrån augusti 2020 och bygger på klagomål som kommit från intresseorganisationen None of Your Business (NOYB) i ljuset av EU-domstolens så kallade Schrems II-dom. Klagomålen handlar om att företagen i strid med lagen för över personuppgifter till USA.

 

Personuppgifter & tredjeland

Enligt GDPR får personuppgifter överföras till tredjeland, dvs länder utanför EU/EES, men enbart om EU-kommissionen har fattat beslut om att landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar den som finns inom EU/EES. EU-domstolen slog dock genom Schrems II-domen fast att USA vid tiden för domen inte kunde anses ha en sådan adekvat skyddsnivå.

 

Tekniska skyddsåtgärder

IMY anser att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för att säkerställa en skyddsnivå som i huvudsak motsvarar den som garanteras inom EU/EES. IMY har utfärdat en administrativ sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON. Vidare hoppas IMY att denna granskning kan komma att bli vägledande för andra företag och organisationer som använder sig av Google Analytics.