background-shape
feature-image

GDPR, Google Analytics och Facebook Connect - Är detta lagligt idag?

Den 25:e Maj 2018 trädde Dataskyddsförordningan, GDPR (General Data Protection Regulation) i kraft.

Myndigheten som är ansvarig för att granska och följa upp Dataskydsförordningen är IMY (Integritetsskyddsmyndigheten) före detta datainspektionen. Nu har det gått några år och vi har börjat se hur denna lag har följts upp och påverkat organisationer och företag i hela Europa.

Ansvarsfriskrivning!

Jag är inte advokat / jurist eller ansvarig för hur ni som läsare väljer att använda eller tolka det som skrivs. Det är ert eget ansvar att ta reda på vad som gäller just er när det gäller GDPR och hur ni väljer att dela er data. Praxis på hur lagstiftningen tolkas kan ha förändrats från det datumet som detta publicerats. Syftet med denna artikel är att upplysa och ge en grundläggande bild av hur GDPR påverkar datainsamling via Google Analytics och Facebook Connect och att ge en grund för er att själva leta information om hur ni skall skydda er.

Vad är en personuppgift?

IMY’s hemsida definierar en personuppgift som > “Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om namn, adress och personnummer.”

Det kan alltså röra sig om:

  • Namn
  • Adress
  • E-post adress
  • Personnummer
  • ID-kortnummer
  • Telefonnummer
  • Foton
  • Registieringsskylt
  • IP - Adress

Känsliga personuppgifter

Det görs en skillnad idag på personuppgifter och särskilt känsliga personuppgifter. Till särskilt känsliga personuppgifter räknas:

  • Sexuella preferenser
  • Politisk åskådning
  • Etnicitet
  • Religiös åskådning
  • Hälsa
  • Medlemskap i fackförening
  • Genetiska uppgifter
  • Biometriska uppgifter

Normalt sett är det förbjudet att hantera denna typ av uppgifter, men det finns vissa undantag.

Hur påverkar detta min Google Analytics?

Problemet med Google Analytics är mer komplicerat än vad det verkar vid en första anblick, om man läser om definitionen av en personuppgift så har vi delen “direkt eller indirekt kan knytas till en person”. Till dessa data hör även information om IP-adresser, preferenser, demografisk data och fysisk plats.

Tyvärr så är det svårt att hitta konkret information om vad du får samla in utan samtycke, och ännu svårare har det vart att hitta faktiska guider i hur du använder Google Analytics på ett sätt som följer GDPR, Google har blivit hårt drabbat av GDPR och även andra aktörer, enligt senaste rapporten från IMY så står den offentliga sektorn för flertalet dataskyddsincidenter under 2020.

Till de offentligt kända fällningarna som Google har fått emot sig kan vi lista följande:

LandSummaRubriceringSammanfattning
Frankrike€50.000.000Principen om öppenhetDen franska NGO “La Quadrature du Net” och den österrikiska organisationen “None Of Your Business” klagade över skapandet av ett Google -konto relaterat till konfigurationen av Android -systemet i en mobiltelefon. Ett böter på 50 miljoner euro utfärdades eftersom följande principer inte iakttogs: principen om öppenhet (artikel 5 GDPR), tillräckligt med information (artikel 13 /14 GDPR) och förekomsten av rättslig grund (artikel 6 GDPR).
Sverige€5.000.000Underlåtenhet att följa principerna för databehandlingGoogle överklagade böterna och det reducerades till 5 000 000 euro. Google dömdes till böter med 7 000 000 euro av Dataskyddsmyndigheten på grund av att de inte uppfyllt sina skyldigheter beträffande rätten för de registrerade att få sina sökresultat borttagna från Googles sökning. Dataskyddsmyndigheten i Sverige hade redan avslutat en undersökning på Google 2017 där den undersökte hur företaget hanterade enskildas önskemål om att bli borttagna från sökresultaten. Vid den tiden instruerade dataskyddsmyndigheten Google att vara mer proaktiv när det gäller att utföra dessa borttagningsbegäranden. År 2018 inledde myndigheten en ytterligare undersökning efter att det rapporterats att Google inte tog bort sökresultat relaterade till individer även efter de tidigare instruktionerna 2017 att göra det. Myndigheten ifrågasatte också Googles praxis att informera webbplatsägare om vilka sökresultat Google hade tagit bort, specifikt vilken länk (sökresultat) som har tagits bort och vem som stod bakom borttagningsbegäran.
Belgien€600.000Bristande efterlevnad av laglig grund för databehandlingGoogle Belgium SA, ett dotterbolag till Google, fick böter på 600 000 euro för att ha avslagit en registrerades ansökan om att förlora föråldrade artiklar som skadade dataklientens rykte, och betonade Googles brist på transparens i dereferencingapplikationerna. Dataskyddsmyndigheten upptäckte att de flesta artiklar som rör oberättigade trakasseriklagomål kan leda till allvarliga konsekvenser för de registrerades rykte. Dessa registrerade var motiverade att begära att Google skulle avstå från att radera eller radera artiklar. Dataskyddsmyndigheten sa att samma princip gäller för offentliga personer som innehar politiska ämbeten, trots vissa små skillnader i skyddet. Googles avslag på applikationen dereferencing bryter mot art. 17 i GDPR (böter med 500 000 euro). Dessutom ålade Datatillsynsmyndigheten ytterligare 100 000 euro i böter för överträdelsen av transparensprincipen.
Ungern€28Bristande efterlevnad av skyddsåtgärder för persondataFöretaget följde inte den registrerades begäran om att få tillgång till information under en viss tidsperiod.

Svårt att tolka och veta vad som gäller

Reglerna i GDPR är väldigt restriktiva men samtidigt diffusa, och det är inte riktigt förrän nu som vi börjar få en bild om hur lagen kommer att tolkas. Viktigt att veta är dock att incident anmälan och behandling skall ske i det land där den drabbade befinner sig eller är medborgare, med andra ord, om din hemsida till exempel arbetar med Google remarketing / retargeting och ni har besökare från något annat EU land så kan ni få en anmälan eller GDPR tips emot er som behandlas i ett annat EU land, som kanske tolkar lagarna mycket hårdare än vad vi är vana vid här i Sverige.

Jag har haft kontakt med personer i diskutionsgrupper runt GDPR som påpekar att GDPR kommer att behandlas som cookie lagen eller PUL, dock är det fortfarande så att det inte behöver vara en svensk myndighet som behandlar ett klagomål mot er, har ni kunder / besökare från t.ex Belgien eller Frankrike är sannolikheten att ert fall kommer att behandlas där, således, i min ödmjuka uppfattning är det bättre att skydda sig själv än att ta risken att bli fälld.

Grundläggande spårning

Om vi tittar på allt som sagts så handlar det mycket om att individen skall ha rätt att kunna kontrollera data om sig själv, och kunna utöva sin rätt att bli bortglömd. Då även IP adresser är en personuppgift och Google använder den informationen för att spåra din geografiska plats så delar du de facto ut personuppgifter till 3:e part.

IP - adressen lämnas ut till Google i syfte att Google skall kunna avgöra den fysiska platsen dina besökare kommer ifrån, och således måste denna anonymiseras för att kunna delas med Google. Man kan inte heller sätta marketing cookies eller samla in demografisk data om sina användare i analytics utan att bryta mot GDPR, även om denna data är “anonymiserad” gentemot dig.

Implicit och explicit medgivande

För att kunna samla in data behöver vi ett explicit eller aktivt medgivande, till skillnad mot Kaliforniens CCPA (Carlifonian Consumer Privacy Act) där implicit medgivande räcker.

Och vad innebär detta?

Jo, detta betyder helt enkelt att man inte får sätta marketing cookies, spara ip-adresser, eller samla in data om intressen, kön eller ålder på sina användare utan att de först har gett sitt medgivande. Och dessutom, vi får inte ha “Ja” förikryssat, utan väljer besökaren att hantera sina val, så skall allt vara satt till “Nej”. Förutom detta har vi skyldigheten att informera besökarna om deras rättigheter, samt hur de kan använda tjänsten utan att bli spårade i de fall där tjänsten kan användas utan att datan samlas in.

Inte heller riktad reklam eller att göra tjänsten mer personlig är tillåtet utan ett medgivande.

En vanlig företeelse jag ser därute är att många fortfarande har den gamla kak-lagens banner, där man “igenom att fortsätta använda webbplatsen ger sitt medgivande”, detta är ett implicit medgivande och därför inte laglig idag. Och än värre är att då spårningskakorna redan satts så har man redan börjat samla in persondata från besökaren, vilket inte är tillåtet idag, medgivande måste ges innan spårnings kakor sätts.

Om tjänsten är gratis är det du som är produkten

Google och Facebook är personuppgiftsansvariga. Igenom att de använder insamlad data för att själva identifiera användare och servera dem riktad annonsering. Ta t.ex Googles anonymiserade ID som finns idag, enligt vissa källor så räcker de för att skydda personuppgifter, men vid närmare granskning så visar det sig att det handlar om s.k pseudo anonymisering, så även om du inte kan identifiera användarna så kan Google göra det, då de har kompletterande information som kan användas för direktmarknadsföring igenom att servera personer reklam baserat på surfvanor och sökningar.

Dela data med utlandet

Inom reglerna för datahantering så finns det även regulationer för vart datat lagras. Hos IMY kan vi hitta en lista på vad som anses vara säkra länder att dela data med utanför EU. USA nämns inte bland dessa länder och nyligen (16 Juli 2020) så invalidiserades Privacy Shield (ett ramverk för att förenkla transatlantisk dataöverföring av persondata) av en dom (Sök på “Schrems II GDPR” för mer information)

Just i skrivandets stund så är det klart att datadelning av persondata med USA är olagligt utan kompletterande avtal med datahanteraren och / eller medgivande från personen som data lagras om. Bakgrunden till detta är USA’s US CLOUD act, som tvingar USA baserade företag att dela data som sparas nationellt eller internationellt till Amerikanska myndigheter.

Så länge som data delas med USA så riskerar vi en lagöverträdelse med tolkning av “Schrems II” fallet.

Det pågår en utredning på 6 företag i Sverige just nu med anledning av användandet av Google Analytics, 101 sammanlagt inom EU som anmälts av intresseorganisationen None of Your Business (NOYB).

Vad gör vi på Kundskap?

Vi på Kundskap har febrilt sökt information om det finns datalagring inom EU för Analytics och / eller om man kan använda det på ett GDPR vänligt sätt men inga raka svar har vi hittat. Utgångspunkten blir då att de delar data med USA och därför inför vi “Consent mode” på alla kakor som sätts av oss, för att skydda oss och våra kunder. Samtidigt så ger Google inga alternativ till att inte skicka med IP-adressen idag via GTM, såvida man inte har GTM server, vi utvärderar alternativ i skrivandets stund.

Det finns idag alternativ som går att användas, och vi ligger just nu i processen med att utvärdera dessa som komplement till Analytics, för att kunna ge våra kunder så bra beslutsunderlag som möjligt och samtidigt kunna följa GDPR lagstiftningen.

/Cristian Herrera