Hoppa till innehåll
nobox
054 – 203 1818 | kontakt@nobox.se

IMYs bedömning om användandet av Google Analytics

Integritetsskyddsmyndigheten (IMY) har bedömt att fyra bolag har brutit mot GDPR genom att använda Google Analytics på sina webbplatser. Två av bolagen, Tele2 samt CDON får sanktionsavgifter på 12 miljoner kronor respektive 300 000 kronor. Dagens industri och Coop får inga sanktioner. Alla bolag får uppmaningen av IMY att sluta använda Google Analytics.

Från de individuella besluten finns en rad intressant konstateranden från IMY. De anser att ”användningen av EU-kommissionens standardavtalsklausuler inte i sig är tillräckligt för att uppnå en godtagbar skyddsnivå för de överförda personuppgifterna”.

Det betyder att överföringar till tredjeland med stöd av standaravtal, som många företag använder sig av idag, inte är tillräckligt skydd. I alla fall inte när tredjelandet är USA. Motiveringen från IMY är att Amerikansk underrättelsetjänst ändå har laglig grund att komma åt personuppgifterna och standardavtalen blir därför tandlösa.

IMY menar att en snävare tolkning av begreppet personuppgift skulle undergräva de grundläggande rättigheterna i EU runt rätten till skydd av personuppgifter. Tolkningen att begreppet personuppgift skulle kräva att de kan knytas till en fysisk person skulle strida mot GDRP.

En personuppgift behöver alltså inte knytas till en fysisk person för att utgöra ett brott mot GDPR.

IMY hänvisar till tidigare domar som fastslår att dynamiska IP-adresser, IP nummer som ändras periodvid, ska utgöra personuppgifter för den som behandlar dem, då den som behandlar dem med hjälp av ytterligare upplysningar från tredje part kan identifiera innehavaren av personuppgiften.

Pseudonymisering, att delvis dölja, kryptera eller på annat sätt ta bort delar av ex. ett IP-nummer, så att det inte ska gå att identifiera en specifik person är att anses vara personuppgifter, på samma sätt som dynamiska IP.

Det är också intressant att se att de åtgärder som Dagens industri och Coop har gjort för att skydda sina besökares personuppgifter anses vara förmildrande och möjligtvis är det därför de inte får en sanktionsavgift. Det är däremot inte nog för att IMY ska anse att ett brott mot GDPR inte har begåtts.

Dagens industri har använt sig av proxyservrar för att maskera IP-adresser och krypterat värdet i kakor innan de skickas till Google. Coop har använt sig av så kallade server side containers, så de skickar inte ens en krypterad IP-adress, utan skickar en enda generell IP-adress som gäller för alla deras besökare till Google Analytics.Alla bolag hade också aktiverat Googles funktion för IP-anonymisering. Inget av detta ansågs dock vara tillräckliga åtgärder, enligt IMY.

Relaterade artiklar

Artikel

Simpliread

läs mer
Artikel

Tillgänglighetsanpassning av e-handel

läs mer
Artikel

Företagsfördelar med nya lagen om tillgänglighet

läs mer
Artikel

The future is Headless

läs mer
Artikel

FB-pixel och GDPR

läs mer
Artikel

Readspeaker vs. Talande Webb

läs mer
nobox-logotyp_vit

Noboxsolutions AB
Kasernhöjden 10
653 39 Karlstad

Support

mån - fre: 09:00 - 16.00

support@nobox.se

054 – 203 1818

Integritetspolicy Här jobbar vi Kunskapsbank

Vill du få uppdateringar från oss?

Anmäl dig till vårt nyhetsbrev

*” anger obligatoriska fält

Samtycke*
Detta fält används för valideringsändamål och ska lämnas oförändrat.
Sigillet är utfärdat av UC AB Högsta kreditvärdighet enligt Dun & Bradstreet. Klicka på bilden för mer att läsa mer om vad detta innebär. Gasell-logotyp för gasellföretag 2023