Tillbaka

22.01.19 / Nyhet

Användning av Google Analytics = olaglig överföring till tredjeland

På kort tid har två banbrytande beslut tagits som underkänner användningen av Google Analytics. Besluten är två av de första att implementera Schrems II-domen från 2020 i praktiken och bekräftar domens högt ställda krav vid tredjelandsöverföringar. Risken för verksamheter att fortsätta använda Google Analytics betonas genom besluten.

Efter klagomål från aktivistorganisationen noyb under ledning av Max Schrems underkände Europeiska datatillsynsmannen (EDPS) i dagarna Europaparlamentets (EP) användning av Google Analytics och Stripe på EP:s COVID-testwebbsida. Även den österrikiska tillsynsmyndigheten (DSB) har nyligen underkänt en webbplatsinnehavares användning av Google Analytics. Besluten är två av de första att implementera Schrems II-domen i praktiken och de väntas inom kort att följas av en mängd beslut från olika tillsynsmyndigheter i liknande tillsynsärenden. 

I motiveringen till EP-beslutet bekräftade EDPS att webbplatsen överförde personuppgifter till USA utan att säkerställa en adekvat skyddsnivå för uppgifterna. Det framhölls att EP inte tillhandahållit dokumentation, bevis eller annan information om de avtalsmässiga, tekniska eller organisatoriska åtgärder som vidtagits för att säkerställa en väsentligen likvärdig skyddsnivå för de överförda personuppgifterna i samband med användningen av cookies på webbplatsen, vilket bedömdes bryta mot GDPR. I beslutet framkom också att det funnits brister i form av vilseledande cookiebanners, oklar och irrelevant informationsgivning, samt bristande hantering av rätten till tillgång. 

I DSB-beslutet konstaterades att överföring skedde till USA och att importören (Google LLC) faller under viss amerikansk övervakningslagstiftning. De standardavtalsklausuler som ingåtts och de ytterligare skyddsåtgärder som vidtagits var otillräckliga för att motverka övervakningsmyndigheters tillgång till de överförda uppgifterna. Överföringen var därför olaglig.

Besluten bekräftar att kraven vid tredjelandsöverföringar gäller på samma sätt för till exempel tjänster som Google Analytics och belyser igen vikten av en ansvarsfull och proaktiv hantering av personuppgifter. Läs gärna mer här:

EDPS beslut 
DSB:s beslut

MAQS specialister inom Integritet & Dataskydd har omfattande erfarenhet av dessa frågor och hjälper löpande företag och andra verksamheter att förstå risken med överföringar och att identifiera åtgärder för att minska den. Vi bistår även med att upprätta den dokumentation som krävs enligt regelverket. Lär om MAQS specialistgrupp Integritet & Dataskydd eller kontakta Karin Schurmann och Anna Eidvall för att diskutera vilka åtgärder som just er verksamhet kan vidta.
 

Relaterade nyheter

Kontaktpersoner