Det svenska integritetsskyddsorganet, Integritetsskyddsmyndigheten (IMY), har meddelat att användningen av Google Analytics av Coop, CDON, Dagens Industri och Tele2 strider mot dataskyddsförordningen GDPR. Denna tillsyn har potentiellt påverkan på majoriteten av svenska företag som nu kan behöva överväga GDPR-kompatibla alternativ till Google Analytics. Amerikanska Google kan inte garantera den dataskyddsnivå som GDPR kräver, vilket ledde till en klar ställning från myndigheten: alla företag bör upphöra med användningen av Google Analytics.
IMY offentliggjorde sitt beslut i sin undersökning om användningen av Google Analytics av några av Sveriges mest framstående företag var i överensstämmelse med GDPR. Myndigheten slog fast att användningen av Google Analytics utgör ett brott mot GDPR, vilket kan få stora konsekvenser för majoriteten av webbplatser.
– Det här var ett ganska väntat beslut, eftersom flera andra länders myndigheter kommit till samma slutsats. De amerikanska lagarna, som Cloud Act, ger amerikanska myndigheter rätt att hämta data från amerikanska företag om miljoner EU-medborgare. Det är en integritetsrisk som myndigheter i EU helt enkelt inte kan bortse från, säger Piotr Korzeniowski, vd på webbanalystjänsten Piwik PRO.
IMY:s beslut följer en trend av liknande beslut från dataskyddsmyndigheter i Österrike, Frankrike och Italien, som tidigare i år fastslog att Google Analytics inte följer GDPR. Utredningarna följer alla i spåren av EU-domstolens Schrems II-avgörande, som förklarade Privacy Shield-avtalet mellan EU och USA för ogiltigt. Beslutet förändrar helt och hållet förutsättningarna för de svenska företag och organisationer som använder Google Analytics.
Annons
– Att Integritetsskyddsmyndigheten nu meddelar sina åsikter om Google Analytics understryker bara än mer hur avgörande det kommer bli med lokal EU-datalagring framöver. Den personliga integriteten är ett av de viktigaste utvecklingsområdena på nätet i dag, så vi välkomnar verkligen det här beslutet, säger Piotr Korzeniowski.
Det som varit avgörande i IMY:s beslut är att data överförs till USA och ett amerikanskt företag, Google. Det gör att problemet, enligt Piotr Korzeniowski, med hög sannolikhet gäller alla versioner av Google Analytics, även om det bara är den populäraste versionen, Google Analytics 3, som stängdes ner 1 juli i år, som granskats den här gången.
Användningen av VPN-tjänster blir allt viktigare i ljuset av strängare dataskyddskrav som GDPR. VPN kan hjälpa till att skydda personuppgifter genom att kryptera dataöverföring och dölja användarens IP-adress, vilket gör det svårare för externa parter att spåra och samla information. Detta är särskilt relevant för företag som behandlar känslig kundinformation och måste uppfylla GDPR-kraven. Dessutom kan VPN ge företag möjlighet att styra och begränsa dataåtkomst baserat på geografiskt läge, vilket kan vara en viktig aspekt i att upprätthålla dataskydd över gränser. Slutligen bör företag vara medvetna om att även om VPN erbjuder förbättrat dataskydd, måste de fortfarande följa alla andra aspekter av GDPR, inklusive insamling, lagring och hantering av personuppgifter.
