Nu går Integritetsskyddsmyndigheten (IMY) ut med att fyra stora bolag i Sverige har brutit mot GDPR när de använt Google Analytics (GA) som mätverktyg. De fyra bolagen IMY har granskat är CDON, Coop, Dagens Industri och Tele2 som alla måste sluta använda GA. Dessutom får Tele2 böter på 12 miljoner kronor och CDON på 300 000 kr. Den granskade versionen av GA är från 14 augusti 2020.
Granskningen gäller hur de fyra bolagen överför personuppgifter till USA genom GA. EU-domstolen fastställde 2020 att USA inte har en tillräckligt hög skyddsnivå av personuppgifter. Därför bryter det mot GDPR att föra vidare personuppgifter från ett land inom EU/EES till USA. GA är ett vanligt mätverktyg för många företag. Därför är granskningarna IMY gjort också aktuella för andra företag i Sverige som också använder sig av GA.
Enligt granskningarna IMY har gjort har uppgifter överförts som IMY menar kan kopplas samman med andra unika uppgifter som också förs vidare. IMY menar också att bolagen inte vidtar tekniska åtgärder för att skydda användares personuppgifter enligt EU/EES-standard. Även om bolagen har andra tekniska lösningar med syfte att skydda personuppgifter är de alltså inte tillräckliga. Bolagen har också använt sig av standardavtalsklausuler som grund för beslut om överföring av personuppgifter.
– De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, säger Sandra Arvidsson, jurist som lett granskningarna av bolagen.
Spotify fick böter på 58 miljoner kronor för brott mot GDPR
Även Spotify blev i juni bötfällda för att inte följa GDPR. Då fastställde IMY att Spotify inte är tillräckligt tydliga i sin information om hur de använder sparade personuppgifter. Enligt GDPR har varje enskild person rätt att få veta vilka personuppgifter ett företag hanterar och hur de används.
Att säkra att ett bolag följer GDPR är inte alltid lätt. Som företag får man nämligen överföra personuppgifter om landet man för vidare uppgifterna till är ett som EU-kommisionen beslutat har tillräckligt hög skyddsnivå av personuppgifter. Om det är ett land EU-kommissionen inte har fattat beslut kring kan företag överföra uppgifter med stöd av standardavtalsklausuler som EU-kommissionen beslutat om. Däremot måste såna klausuler ibland kompletteras med andra skyddsåtgärder enligt EU-domstolen.
Att säkra sig om att ditt företag följer GDPR är inte alltid lätt. Särskilt inte när du också måste se till att de verktyg och program du använder också följer GDPR.
Vill du försäkra dig om att ditt företag följer GDPR och att det inte brister någonstans? Under juli månad kan du boka in ett kostnadsfritt videosamtal med vår GDPR-expert Adib Hosseini. Använd koden ADIBJULY23 när du bokar ditt samtal i appen Kliently*. Adib är specialiserad inom det affärsjuridiska fältet för företag och GDPR. Och då särskilt inom konkurrensregler och EU-rättsliga regler för företag.
*Koden är giltig till och med 31 juli 2023. Koden gäller bara när du bokar samtal hos vår jurist Adib Hosseini. Erbjudandekoden ger dig ett kostnadsfritt videosamtal på 15 minuter.
Ladda ner appen Kliently och få hjälp redan idag
