Den 3:e juli kom IMY:s (Integritetsskyddsmyndigheten) beslut efter tillsynen av Google Analytics (GA) för CDON, Tele2, Coop och Dagens Industri. Rubriken på pressmeddelandet var till en början något populistiskt ”Bolag måste sluta använda Google analytics”, men ändrades snart till ”Fyra bolag måste sluta använda Google analytics” då de fick en hel del kritik för att den kunde tolkas som det ovillkorliga slutet för GA i EU/EES. Ytterligare en vecka senare skulle rubriken kunna ändras till ”Inget bolag behöver sluta använda Google analytics” då ”ramverket” för överföring av personuppgifter mellan EU och USA nu är klubbat och USA därmed bedöms ha ”adekvat skyddsnivå”. Hänger du med? Nej, vi förstår det. Vi tar det från början.
Privacy Shield, Schrems och EU-domstolen
För er som inte lever och andas dataskyddsfrågor kommer här en kort resumé:
- Enligt GDPR är det inte tillåtet för företag, myndigheter eller organisationer att föra över personuppgifter till ett land utanför EU/EES utan långtgående säkerhetsåtgärder om inte EU redan har bedömt att mottagarlandet har så kallad ”adekvat skyddsnivå”.
- Maximilian Schrems är en österrikisk aktivistjurist som inte gillar USA i allmänhet och Silicon Valley-drakarna i synnerhet och vurmar för personlig integritet på internet. Han har för detta syfte grundat en rörelse som heter None of your business (”NOYB”).
- Företag och organisationer i USA som certifierade sig i enlighet med ett avtal mellan USA och EU som hette ”Privacy Shield” ansågs uppnå adekvat skyddsnivå enligt GDPR fram till och med sommaren 2020, då EU-domstolen dömde till Schrems fördel i hans klagomål mot Facebook vilket mer eller mindre upphävde Privacy Shield. Detta domslut benämns ofta som ”Schrems II”. (Om du är intresserad av ”Schrems I”, kan du läsa mer här).
- I praktiken innebar EU-domstolens dom att det över en natt blev olagligt att använda amerikanska molntjänster från till exempel Microsoft, Salesforce, Adobe, Google, Facebook, osv.
- Anledningen till EU-domstolens slutsats i Schrems vs Facebook var att vissa amerikanska lagar, förordningar och ”dekret” (Executive orders från presidenter) gör det möjligt för amerikanska myndigheter – främst brottsbekämpande – att få tillgång till data som överförs till USA eller som lagras på amerikanska molnbolags servrar oavsett var servrarna är lokaliserade geografiskt. Detta kan ske utan att en enskild individ vars uppgifter det gäller får information om detta och har följaktligen inte möjlighet att motsätta sig eller överklaga behandlingarna av deras personuppgifter.
- Det som kan vara värt att påpeka är att ovanstående behandling inte kan ske hursomhelst utan omgärdas av amerikanska regler för i vilka fall myndigheter får begära ut uppgifter från molntjänstbolagen. Det är till exempel även i Sverige tillåtet under vissa förutsättningar och frekvent förekommande att Polismyndigheten begär ut uppgifter om enskildas användning av mobiltelefoner från svenska telekomoperatörer för att utreda brott. Detsamma förekommer även i alla andra länder inom EU och anses inte bryta mot GDPR.
- Efter framgångarna med Facebook-målet riktade NOYB sina blickar mot Google. 101 klagomål mot olika webbplatsägare som använde Google analytics runt om i Europa skickades in av NOYB i augusti 2020 varav de ovanstående fyra var svenska företag.
Varför tycker NOYB att Google analytics är olagligt?
I korthet kan man beskriva NOYB:s klagomål ungefär så här:
”Jag loggade in på mitt Google-konto i min webbläsare och surfade sedan runt på olika webbplatser som använde Google analytics, samtyckte till kakor för spårning och nu är jag sur för att dessa webbplatsägare överför uppgifter som till exempel min IP-adress och olika metadata till följd av GA-kakorna till Google och därmed till USA. Detta kan inte vara lagligt och jag känner att min personliga integritet har blivit kränkt av företag X som äger webbplatsen.”
(Fri tolkning av författaren)
Tillsynsmyndigheternas* beslut i de hittills granskade fallen har varit att ge NOYB rätt och bedöma behandlingen som olaglig eftersom den innebär en risk för överföring av personuppgifter till USA som potentiellt kan behandlas av amerikanska myndigheter.
I besluten görs inte någon som helst rimlighetsbedömning om hur sannolikt det är att amerikanska myndigheter skulle välja att begära ut Google Analytics-data från till exempel en svensk e-handelssajt för en utredning. Gissningsvis för att svaret är noll. Behandlingen bedöms alltså som olaglig baserad på mycket långsökta risker för ytterligare behandling av amerikanska myndigheter.
Vän av ordning och sunt förnuft kanske också skulle fråga sig varför en person först loggar in på sitt Google-konto – vilket säkerställer att Google vet exakt vem man är och vad man gör på internet samt garanterat överför uppgifterna till USA – om man är orolig för att ens uppgifter ska skeppas över Atlanten?
Men jag vet att detta är väldigt lekmannamässiga och rationella åsikter som inte har så mycket att göra med de betydligt roligare juridiska invecklingarna som tillsynsmyndigheterna, EDPB** och EU-domstolen har ägnat sig åt.
Vad har detta kostat?
Ett direkt resultat av EU-domstolens beslut och NOYB:s 101 klagomål är dock att miljontals små och stora företag, kommuner, myndigheter och andra organisationer i EU sedan dess har spenderat miljarder på att försöka undvika denna ”olagliga” behandling genom att byta verktyg och leverantörer, köpa dyra råd från konsulter och jurister om det är möjligt att vidta säkerhetsåtgärder så att behandlingen blir laglig eller helt enkelt kört på som förut med ont i magen och med förhoppning om att inte bli anmäld och åka på sanktionsavgifter.
Allt detta arbete och kostnader för att lösa något som den enskilde användaren – om man på allvar är orolig för att ens surfdata ska hamna hos amerikanska myndigheter – kan lösa genom att:
- Inte ha ett Google-konto eller åtminstone inte surfa i inloggat läge.
- Inte samtycka till spårning på webbplatser. (Här har vi dock ett större bekymmer med att många webbplatser inte gör det lika enkelt att säga ”nej” till spårning som att säga ”ja”, men att den klagande först samtyckt till spårningen har inte ens varit en faktor i besluten).
Enligt mig har det funnits större bekymmer för dataskyddsmyndigheter i EU att lägga sin tid på än detta de senaste tre åren om man på allvar vill göra skillnad när det gäller individers personliga integritet på internet.
De flesta har insett att det i längden skulle vara ohållbart att det ska vara olagligt för företag och myndigheter i EU att använda amerikanska molntjänstleverantörer oavsett behandling och situation. I synnerhet som amerikanska molntjänstleverantörer (tyvärr) fullkomligt dominerar vissa sektorer för digitala verktyg, men det är inte en uppgift för GDPR att lösa den bristande konkurrenssituationen.
Ny överenskommelse mellan EU och USA
Så exakt sju dagar efter att IMY kommit med sina fyra beslut i NOYB-klagomålen kommer informationen från Bryssel och Washington DC om att EU och USA nu kommit överens om ett nytt ”ramverk” (typ ett nytt förbättrat Privacy shield) för säker överföring av personuppgifter från EU till USA och att företag som certifierar sig enligt detta ramverk anses kunna hantera personuppgifter med adekvat skyddsnivå.
Vips så var användning av Google analytics inte per default olaglig längre! Så kan det gå i den underbart logiska juridiska och politiska världen!
CDON, Tele2, Coop och Dagens Industri är säkert glada för detta men gissningsvis lite sura över att ha behövt lägga tid och resurser på att hantera denna tillsyn i tre år där i slutänden beslutet inte ens stod sig i en vecka….
*Då NOYB lämnade in 101 klagomål i olika länder så har flera olika ”IMY:s” runt om i EU granskat dessa och lämnat beslut. **EDPB är den samlande organisationen för alla EU:s tillsynsmyndigheter för GDPR.
Är du intresserad av att få kontakt med oss för dialog om vi kan hjälpa dig och ditt företag med något? Lämna dina uppgifter nedan så hör vi av oss snarast!