Den 3 juli meddelade Integritetsskyddsmyndigheten (IMY) att fyra bolag behöver sluta använda Google Analytics. IMY:s pressmeddelande kom mot bakgrund av en tillsyn som rörde bolagens överföring av personuppgifter till USA via Google Analytics. Genom tillsynen har alla bolag blivit förelagda att upphöra med sin användning av Google Analytics.
IMY:s tillsyn inleddes mot bakgrund av 101 klagomål som intresseorganisationen None of Your Business lämnat in. Beslutet är inte förvånande men blir generellt sett väldigt utmanande för företag som är beroende av att kunna använda tjänster från amerikanska leverantörer. Integritet och kundförtroende är av stor vikt för handelsföretag samtidigt är det viktigt att säkerställa ett fritt flöde av personuppgifter för att främja en internationell handel.
Svensk Handel har tagit fram en kort text med frågor och svar relaterade till beslutet.
Vad innebär detta för mig som handelsföretag?
Användningen av Google Analytics är inte slutligt prövat av domstol, men IMY anser att bolagens användning inte följer reglerna i GDPR. Notera dock att granskningarna avser en version av Google Analytics från 14 augusti 2020. I detta fall har bolagen använt standardavtalsklausulerna som överföringsmekanism och på olika sätt vidtagit kompletterande skyddsåtgärder för att skydda de registrerades integritet. Beroende på vilka skyddsåtgärder som ert bolag har vidtagit så kan även er användning av Google Analytics anses olaglig och ni bör fundera över alternativa analysverktyg som kan användas för samma ändamål.
Vilka skyddsåtgärder skulle vi kunna vidta för att få fortsätta använda Google Analytics?
IMY har endast gjort bedömningen att de skyddsåtgärder som vidtagits i de enskilda fallen inte ärr tillräckliga. De lyfter bland annat Googles egna skyddsåtgärder samt användning av server side container som skyddsåtgärder. Om ni har vidtagit andra kompletterande skyddsåtgärder eller använder en annan version av Google behöver ni dokumentera varför ni bedömer att dessa är tillräckliga mot bakgrund av reglerna i GDPR och Schrems II-domen. Med hänsyn till de högt ställda kraven finns det dock betydande utmaningar med att överföra personuppgifter till USA. Europeiska dataskyddsstyrelsen har utfärdat riktlinjer kopplat till skyddsåtgärder som kan vara till hjälp i ert arbete. Ni hittar riktlinjerna här.
Gäller detta bara användning av Google Analytics?
Nej, beslutet har principiell betydelse som rör användning av olika tjänster som överför personuppgifter till USA.
Vad är Data Privacy Framework?
Data Privacy Framework är ett utkast till ett beslut av Kommissionen som rör personuppgiftsöverföringar till USA. Beslutet innebär att Kommissionen anser att USA:s lagstiftning, tillsammans med Data Privacy Framework, uppfyller en adekvat skyddsnivå. Detta kommer göra det möjligt att på nytt överföra personuppgifter till USA baserat på beslutet.
När kommer Data Privacy Framework att antas?
Det ryktas att beslutet väntas publiceras redan i slutet av juli 2023.
Kommer jag kunna använda Google Analytics efter Data Privacy Framework har antagits?
Ja, vad gäller överföringar av personuppgifter till USA så ska Data Privacy Framework kunna användas som giltig överföringsmekanism. Användningen av Google Analytics (och andra tjänster) kan dock innebära överföringar till fler länder utanför EU så det är viktigt att du kontrollerar vad som gäller för den version av Google Analytics som du använder.
Även om Google Analytics skulle kunna användas efter att Data Privacy Framework har antagits kan det trots detta vara lämpligt att se över möjligheten att använda alternativa analysverktyg. Olika faktorer indikerar nämligen på att även Data Privacy Framework kommer att prövas i EU-domstolen.
Svensk Handel kommer fortsätta bevaka frågan och det är av största vikt att handelsföretag även i framtiden kan använda verktyg som är nödvändiga för att vara en konkurrenskraftig aktör på marknaden.
Medlemsrådgivning
Som medlem har du också förmånliga priser på rådgivning hos Svensk Handel Juridik. Kontakta deras dataskyddsexperter: info@shjuridik.se eller 010-47 18 710
Kort bakgrund
Den 16 juli 2020 underkände EU-domstolen den överföringsmekanism som gjorde det möjligt för företag att på ett enkelt sätt överföra personuppgifter till USA (Schrems II-domen). Domen innebar även att personuppgiftsansvariga som överför personuppgifter till ett land utanför EU behöver säkerställa att mottagarlandet har en väsentligen likvärdig skyddsnivå jämfört med den skyddsnivå vi har i EU. Om det finns brister i mottagarlandets lagstiftning eller tillämpning behöver den personuppgiftsansvariga vidta kompletterande skyddsåtgärder och om sådana inte finns tillgängliga, upphöra med överföringen.
Få koll på de viktigaste nyheterna som rör dig som handlare. Varannan vecka skickar vi ut ett nyhetsbrev där vi samlar vägledningar, förmåner och de senaste rapporterna som hjälper dig som handlare i din vardag. Registrera dig redan idag!