Nu går Integritetsskyddsmyndigheten (IMY) ut med att fyra stora bolag i Sverige har brutit mot GDPR när de använt Google Analytics som mätverktyg. De fyra bolagen IMY har granskat är CDON, Coop, Dagens Industri och Tele2 som alla måste sluta använda Google Analytics. Dessutom får Tele2 böter på 12 miljoner kronor och CDON på 300 000 kr. Den granskade versionen av Google Analytics är från 14 augusti 2020.
Granskningen gäller hur de fyra bolagen överför personuppgifter till USA genom Google Analytics. EU-domstolen fastställde 2020 att USA inte har en tillräckligt hög skyddsnivå av personuppgifter. Därför bryter det mot GDPR att föra vidare personuppgifter från ett land inom EU/EES till USA. Google Analytics är ett vanligt mätverktyg för många företag. Därför är granskningarna IMY gjort också aktuella för andra företag i Sverige som också använder sig av Google Analytics.
Enligt granskningarna IMY har gjort har uppgifter överförts som IMY menar kan kopplas samman med andra unika uppgifter som också förs vidare. IMY menar också att bolagen inte vidtar tekniska åtgärder för att skydda användares personuppgifter enligt EU/EES-standard. Även om bolagen har andra tekniska lösningar med syfte att skydda personuppgifter är de alltså inte tillräckliga. Bolagen har också använt sig av standardavtalsklausuler som grund för beslut om överföring av personuppgifter.
– De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, säger Sandra Arvidsson, jurist som lett granskningarna av bolagen.
Inte bara Google Analytics som är ett problem
Även Spotify blev i juni bötfällda för att inte följa GDPR. Då fick de böta 58 miljoner kronor för brott mot GDPR. Då gällde det inte överföringen av uppgifter genom Google Analytics utan om att Spotify inte var tillräckligt tydliga i sin information om hur de använde sparade personuppgifter. Enligt GDPR har varje enskild person rätt att få veta vilka personuppgifter ett företag hanterar och hur de används.
Att säkra att ett bolag följer GDPR är inte alltid lätt. Som företag får man nämligen bara överföra personuppgifter om EU-kommisionen har beslutat att mottagarlandet har tillräckligt hög skyddsnivå av personuppgifter. Om EU-kommissionen inte har fattat beslut kring mottagarlandet kan företag överföra uppgifter med stöd av standardavtalsklausuler som EU-kommissionen beslutat om. Däremot måste man enligt EU-domstolen ibland komplettera såna klausuler med andra skyddsåtgärder.
Behöver du juridisk hjälp?
Att säkra sig om att ditt företag följer GDPR är inte alltid lätt. Särskilt inte när du också måste se till att de verktyg och program du använder också följer GDPR. Det här gäller inte bara program som Google Analytics utan även andra verktyg och program som kan leda till böter om de inte följer de riktlinjer och lagar som finns inom EU.
Om du vill ta reda på om ni följer GDPR och att det inte brister någonstans kan det vara bra att ta hjälp av någon som är expert på GDPR. Då kan du vara säker på att ditt företag följer rätt riktlinjer och att ni inte behöver oroa er för några juridiska konsekvenser framöver.