Google Analytics strider mot dataskyddsförordning

Datainspektionen har meddelat myndigheter och aktörer på Åland att användningen av webbanalysverktyget Google Analytics strider mot EU:s allmänna dataskyddsförordning. Det efter ett färskt beslut av den franska tillsynsmyndigheten CNIL.
– Det är ett beslut som alla dataskyddsmyndigheter ska tillämpa, säger myndighetschef Lena Nordman.

Vill du fortsätta läsa?

Som prenumerant hos oss får du tillgång till artikeln och våra andra produkter

Kund men inte aktiverat kontot ännu? Aktivera konto

Kevin Eriksson

Diskussionen om huruvida Google Analytics är förenligt med EU:s allmänna dataskyddsförordning har pågått under en tid och bottnar i den så kallade Schrems II-domen som EU-domstolen meddelade i juli 2020. I domen konstaterade domstolen att överföring av personuppgifter till USA inte är förenligt med GDPR eftersom uppgifterna riskerar hamna i den amerikanska underrättelsetjänstens händer.

Sedan dess har dataskyddsmyndigheten i Österrike slagit fast att Google Analytics bryter mot GDPR, och i februari fattade den franska tillsynsmyndigheten CNIL i egenskap av ledande tillsynsmyndighet ett liknande beslut.

CNIL ålade i sitt avgörande administratören av en fransk webbplats att ändra behandlingen av personuppgifter så att den stämmer överens med dataskyddsförordningen och vid behov sluta använda Google Analytics. Flera liknande ärenden är för tillfället under utredning i bland annat Finland och Sverige, men eftersom ärendet i Frankrike behandlades som ett samarbete mellan de europeiska dataskyddsmyndigheterna, där man bedömde villkoren som används för att överföra personuppgifter till USA samt dess risker, har flera nationella dataskyddsmyndigheter nu börjat skicka ut information om att användning av Google Analytics strider mot dataskyddslagstiftningen.

Inget beslut

Dataombudsmannens byrå i Finland gick ut med informationen den 11 februari, och under fredagen meddelade även Lena Nordman vid datainspektionen åländska myndigheter och aktörer om saken. Hon säger att CNIL:s beslut är ett avgörande som övriga dataskyddsmyndigheter inom EU ska följa.

– Så länge inte EU-domstolen kommer med något annat avgörande är det den tillämpningen alla dataskyddsmyndigheter ska följa. Nya beslut kan fattas enskilt för varje land men de kan inte avvika från den gemensamma linjen. Det jag ni gjort är att i likhet med övriga dataskyddsmyndigheter informera om vad som hänt och vad det innebär.

Lena Nordman säger att de instruktioner som Google Analytics ger inte är tillräckliga för att förhindra att personuppgifter exporteras till USA.

– Så läget nu är att alla som använder Google Analytics behöver försätta sin hemsida i ett sådant skick som GDPR förutsätter, eller upphöra med användningen av programmet.

En järnridå

Problemet är att det i USA finns övervakningsmekanismer i lagstiftningen som gör det möjligt för underrättelsetjänsten att komma åt personuppgifter som lagras. Data som Google lagrar är med andra ord tillgänglig för amerikansk underrättelsetjänst. Enligt Lena Nordman är frågan mycket större än bara Google Analytics och hon säger att det pågår politiska diskussioner mellan EU och USA.

– Det som hänt nu är lite av en islossning i frågan om överföring av personuppgifter till tredje land. Värsta scenario på sikt är att vi får en järnridå mellan EU och USA vad gäller personuppgifter. Men just nu kan dataskyddsmyndigheterna i EU inte göra annat än att tillämpa den här tolkningen.

Google Analytics är i dag en tjänst som används av de flesta stora webbplatserna. Tjänsten registrerar vilka webbsidor besökarna använder sig av, lagrar det och presenterar det som statistik för webbplatsens ägare.