I början av juli kom två stora nyheter i veckorna efter varandra – först publicerade IMY den 3 juli fyra beslut med kontentan att man uppmanade svenska bolag att sluta använda sig av Google Analytics då det kan ske en olovlig överföring till USA av personuppgifter, för att veckan efter följas den 10 juli av det länge väntade beslutet kallat EU US Data Privacy Framework (DPF) vilket möjliggör överföringen av personuppgifter till företag i USA om de anluter sig till DPF, något som Google har gjort. Detta innebär att svenska företag, för tillfället, kan använda sig av Google Analytics och andra tjänster från företag baserade i USA.
DPF bygger på den föregående överföringsmekanismen som fanns mellan EU och USA, Privacy Shield, med några tillägg varav den viktigaste är en möjlighet för EU medborgare att få en ev. bearbetning av dennes personuppgifter av myndigheter och säkerhetstjänster kopplade till USA prövad i en domstolsliknande process. Det sista svarar upp mot ett av de viktigaste kraven som EU domstolen ställde för framtida överföringar till USA i den s.k. Schrems II domen den 16 juli 2020. En dom som tog bort möjligheten att använda sig av Privacy Shield som överföringsmekanism till USA.
Maximilian Schrems har redan sagt, via hans organisation NOYB (None of Your Business), att han kommer att försöka få DPF prövad i EU domstolen, men det är en process som kommer ta ett par år. Fram till dess så kan svenska företag använda sig av företag i USA så länge de har anslutit sig till DPF.
Men, då vi inte vet säkert om DPF kommer att överleva en granskning av EU domstolen kan det vara bra att titta på besluten som IMY publicerade den 3 juli och vad man kom fram till. De fyra berörde företagen var Coop, Dagens Industri (DI), Tele2 och CDON.
IMY inledde sina tillsynsärenden i samband med att fyra anmälningar hade inkommit genom att NOYB samtidigt anmälde 101 webbplatser inom EU till samtliga EUs dataskyddsmyndigheter under hösten 2020 för webbplatsernas fortsatta användning av Google Analytics, med dess överföring av ev. personuppgifter till USA, efter det att Schrems II domen vunnit laga kraft. Aktionen fick till följd att samtliga EU dataskyddsmyndigheter började gemensamt undersöka frågan, vilket ledde till att man inom EDPB (Europas dataskyddsmyndigheter) kom fram till ett gemensamt grundbeslut i frågan.
Det gemensamma grundbeslutet innebär att man från dataskyddmyndigheternas synvinkel ansåg att det inte var i enlighet att GDPR att använda sig av Google Analytics med de EUs standardavtalsklausuler (EU SCC) som grund för överföringen till USA som gällde vid tidpunkten som ligger till grund för anmälan, dvs. den 14 augusti 2020. Detta trots att man från Googles sida anonymiserade de IP-adresser som överfördes till USA direkt vid ankomst. Från EDPBs sida pekade man på att det de facto skett en överföring av personuppgifter till USA och att de extra säkerhetsåtgärder som Google hade gjort vid tillfället för anmälan inte var tillräckliga för att hindra att säkerhetstjänsterna i USA inte skulle kunna komma åt uppgifterna.
Det gemensamma beslutet har ledde till att tre europeiska dataskyddsmyndigheter – Österrike, Frankrike och Italien – publicerade sinatolkningar av beslutet där de uppmanade de inblandade företagen att sluta använda sig av Google Analyticsverktyget man använde sig av.
Det som skiljer IMYs från de som de tre länderna har publicerat är att man i Sverige är först med att lägga till en sanktionsavgift i två av besluten (Tele2 – 13 000 000 SEK och CDON 300 000 Sek respektive). Skälet till att Dagens Industri (DI) och Coop sluppit sanktionsavgifter är följande:
- DI hade använt sig av en anonymiseringstjänst baserat i ett EU-moln som har sett till att inga personuppgifter fördes över via de anmälda kakorna som ingick i tjänsten MEN att man hade missat att en annan kaka skickade över användarens IP-adress i klartext. IMY ansåg att man från DIs sida hade gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde och gav endast DI en reprimand.
IMY ålägger samtidigt DI att se till att man upphör att använda sig av det Googleanalyticsverktyg som ANVÄNDES den 14 augusti 2020 samt en månad att säkerställa att den andra kakan åtgärdas. - Coop även här använt sig av en anonymiseringstjänst baserad inom EU via en så skallad Server side tjänst vilken möjliggjorde att man anonymiserade uppgifterna från de anmälda kakorna. Problemet var att man inte gjorde detta med andra kakor, som skickade uppgifter möjliggjorde identifiering av användaren på annat sätt, i klartext direkt till Google i USA. IMY anser även här att man från Coop sida gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde .
IMY ålägger samtidigt Coop att se till att man upphör att använda sig av det Googleanalyticsverktyg som ANVÄNDES den 14 augusti 2020. Samtidigt ska man tillse att ev. fortsatt användning av Google Analytics ska man tillse att informationen som förs över till USA via verktyget överensstämmer med GDPR.
Låt oss nu titta närmare på det verktyg som bolagen har använt sig av – UA. Ett verktyg som inte längre samlar in information då Google har stängt ned det den 30 juni 2023. I sina beslut trycker IMY på att man uppmanar alla bolagen att sluta använda sig av just det verktyget. Innebär det att det hade varit OK att använda sig av Google Analytics idag har man övergått till GA4?
Jag har pratat med experter inom området när det gäller Google Analytics och generellt så kan man säga att GA4 är ett försök från Google att se till att datan som samlas in görs på ett sätt som blir mer i linje med GDPRs regler. Mycket mer information än tidigare anonymiseras eller maskas (tecken ersätts med ### för att dölja vad som egentligen angavs, en sträng där det exempelvis stod acg436633 blir istället acg###### etc.) Vidare finns det fler parametrar som du som användare kan ställa in för att ytterligare information ska maskas och anonymiseras innan den skickas till Google.
Det är dock tveksamt om det hade räckt om inte EDF hade sjösatts. För tittar vi på Coop och DI besluten så ser vi att de undkom sanktionsavgift då man hade satt upp något som kallas en Server sIde på en server som är baserad inom EU. Server side är en virtuell server som där man tillser att datan som samlas upp inom EU pseudonymiseras, maskas eller hashas (en metod som innebär att en sträng av data byts helt ut, till exempel skulle vår stäng acg436633 kunna bli 2345kvghty38475. För att kunna återskapa originalinformationen måste du ha tillgång till nyckeln som skapade den) innan den förs över till USA.
Då kvarstår frågan om det hade ansetts vara tillräckligt att man från företag inom EU använder sig av en pseudonymisringsprocess baserad inom EU och skickar över pseudonymiserade uppgifter som innehåller en identifierare som endast det EU baserade företaget kan använda sig av för att återidentifiera användaren. Dvs. företaget ligger inte inom de säkerhetstjänster som återfinns i USA:s jurisdiktion och därför kan man hävda att man inte behöver samarbeta med dem. Företaget får fortfarande den analys av den individ man söker, men man skickar inte över nyckeln till USA vilket gör att informationen är att anse som anonym för exempelvis Google i USA och därmed även de myndigheterna som återfinns där.
Personligen tror jag att detta hade varit tillräckligt då det ligger i linje med med vad EU domstolen kom fram till i SRB vs EDPS domen. SRB vs. EDPS domen är en dom som publicerades av EUCJs Tribunal (EU domstolens lägre och första instans) publicerade den 26 april 2023, där man slog fast att EDPS (Eus interna dataskyddsmyndighet, att jämföras med IMY) inte kunnat visa att SRBs motpart, Deloitte, hade kunnat identifiera de pseudonymiserde uppgifterna som SRB skickade över. EUCJ Tribunalen ansåg därmed att datan var att anse som anonym när den behandlades av Deloitte.
Sammanfattning
För att sammanfatta en händelserik sommar så kan vi lugnt säga att Svenska företag kan trots IMYs beslut fortsätta använda sig av Google Analytics, men att det kan vara bra att se över hur och vilken information man skickar över i ljuset av IMYs beslut.
Vill du lära dig mer om bl.a. detta eller om dataskydd och GDPR i praktiken kan jag rekommendera att du anmäler dig till höstens kurs av DP Academy som kommer att genomföras den 25 och 26 oktober samt 21 och 22 november.
DP Academy är en gedigen utbildning inom dataskyddsfrågor som vänder sig till dataskyddsombud, dataskyddsexperter, dataskyddssamordnare och personer med liknande roller inom både offentlig och privat sektor. Utbildningen har dataskyddsarbetet och dataskyddsprogrammet i fokus, med praktiska övningar och metodstöd, men man uppmärksammar även dataskyddsombudets specifika ställning. Läs mer på DP Academy
Artikel skriven av Axel Tandberg, Dataskyddsjurist LWA
Kontakt: axel.tandberg@legalworks.se
