Sök Logga in

Integritetsskydds­myndighetens frågor till de som använder Google Analytics

Marcus Österberg 9 minuters läsning Integritetsskyddsmyndigheten Coop GDPR Google Analytics Webbanalys
Integritetsskydds­myndighetens frågor till de som använder Google Analytics

Integritetsskyddsmyndigheten (tidigare Datainspektionen) meddelade i slutet av november att de började granska klagomål inlämnade av None of Your Business (NOYB), i ljuset av Schrems II-domen från i somras. Coop har hamnat i fokus för att de använder Google Analytics.

De frågor som Integritetsskyddsmyndigheten ställer kan vara klokt att läsa igenom för att få en bild över problematiken utifrån tillsynsmyndighetens synvinkel. Detta gäller förstås inte enbart Google Analytics, och Google Tag Manager, utan också Adobe Analytics och andra verktyg där överförande av personuppgifter till tredje land är en del av själva tjänsten.

Mer från Integritetsskyddsmyndigheten om personuppgifter:

“[en personuppgift är] till exempel ditt namn, din e-postadress, ett foto på dig, ditt ID-kortnummer och din IP-adress när du surfar på nätet.

Exempel: Om du som privatperson äger en bil så är bilens registreringsnummer en personuppgift. Det är möjligt att utläsa att du är bilägaren eftersom registreringsnumret kan kopplas till dig som fysisk person. Om bilen istället ägs av ett företag är registreringsnumret inte en personuppgift, eftersom bilen inte kan kopplas till en fysisk person.”

Vad är en personuppgift? (Integritetsskyddsmyndigheten)

Vad innebär det att bli granskad?

Webperf har begärt ut Integritetsskyddsmyndigheten brev till Coop, det har diarienummer DI-2020-11368 om du vill ha en egen kopia, och nedan publiceras det, med kontakt- och personuppgifter borttaget.

Nedan börjar brevet till Coop.

Tillsyn enligt dataskyddsförordningen

Datainspektionen har fått in ett klagomål (bilaga 1) mot er verksamhet. Klagomålet har lämnats över till oss, i egenskap av ansvarig tillsynsmyndighet för er verksamhet enligt artikel 56 i dataskyddsförordningen, från tillsynsmyndigheten i det land där klaganden har lämnat in sitt klagomål i enlighet med förordningens bestämmelser om samarbete i gränsöverskridande ärenden.

Med anledning av klagomålet har Datainspektionen beslutat att granska er personuppgiftsbehandling avseende de brister som framgår av klagomålet. Klagomålet rör en påstådd överträdelse av bestämmelserna i kapitel 5 i dataskyddsförordningen (överföring av personuppgifter till tredjeländer) kopplad till er webbplats, www.coop.se (nedan kallat ”er webbplats”).

Våra frågor

Datainspektionen vill att ni svarar på följande frågor om ni anser att ni är ansvarig för den aktuella webbplatsen. Om ni anser att ni inte är det, återkom då snarast möjligastoch uppge vem som är ansvarig, varför ni anser det samt kontaktuppgifter till vederbörande.

Del I: Allmänt

  1. Bäddade ni in koden för verktyget Google Analytics (nedan kallat “Verktyget”) på er webbplats? Om nej, behöver ni inte svara på följande frågor i nuläget.
  2. Om ja, och om ert företag är etablerat i flera europeiska medlemsstater, har er etablering i Sverige fattat beslutet om att lägga in Verktyget på er webbplats? I tillämpliga fall, har ert företag fattat ett sådant beslut för en annan europeisk version av er webbplats? I vilket fall som helst, beskriv era skäl för att bädda in koden för Verktyget på er webbplats.
  3. Om ja, utvärderades statistiken från Google Analytics från registrerade i mer än en EU/EES-medlemsstat?
  4. Om ja, ange om ni hade en valmöjlighet att överföra personuppgifter till USA när ni implementerade koden för Verktyget på er webbplats.
  5. Är för närvarande koden för Verktyget fortfarande inbäddad på er webbplats och om inte, när tog ni bort koden?

Del II: Relation till Google och användning av Verktyget

  1. Ange alla enheter (inklusive Google) till vilka personuppgifter (direkt eller indirekt) lämnas ut på grund av inbäddningen av koden för Verktyget på er webbplats (sådana enheter nedan kallade ”Mottagare”).
  2. Vänligen ange:
  • a. de personuppgifter som behandlas inom ramen för Verktyget
    • i. av er och
    • ii. av någon Mottagare och
  • b. de kategorier av personer som berörs av behandlingen inom ramen för Verktyget (inklusive: Kommer särskilda kategorier av personuppgifter enligt definitionen i artikel 9.1 dataskyddsförordningen att behandlas? Kommer uppgifter om särskilt utsatta personer som barn att behandlas?)
  1. Såvitt ni känner till, vid vilken tidpunkt var det möjligt för respektive Mottagare att få kunskap om användares personuppgifter (t.ex. IP-adresser eller webbläsarbeteende) efter att webbplatsen anropats av en användare? Ange också om koden för Verktygets innehåll integreras och körs direkt när webbplatsen öppnas eller först efter att vissa villkor är uppfyllda (t.ex. om användaren först gett sitt samtycke)?
  2. Hur länge kommer de personuppgifter som behandlas att lagras och när kommer de att raderas?
  3. I vilket eller vilka land kommer personuppgifterna att behandlas?
  4. På vilken rättslig grund baserar ni inbäddningen av Verktyget på er webbplats och den därav efterföljande behandlingen av personuppgifter, inklusive eventuellt utlämnande till mottagarna (särskilt Google)?
  5. Ur dataskyddssynpunkt, vad är er relation med Google som ger er möjligheten att använda Verktyget? Beskriv i detalj om ni betraktar dem som (oberoende) personuppgiftsansvariga, gemensamt personuppgiftsansvarig (med er) eller som ert personuppgiftsbiträde när det gäller den personuppgiftsbehandling som rör Verktyget. Bifoga även dokument med datum och, i förekommande fall, underskrifter som stödjer era förklaringar. Observera att delar av avtal eller överenskommelser som inte rör det rättsliga förhållandet mellan parterna när det gäller dataskyddsfrågor eller behandlingsprocesserna i fråga kan redigeras eller utelämnas om det anges när så skett.
  6. Om det inte finns några avtal eller överenskommelser mellan er och Mottagarna, förklara på vilken grund ni ändå ger Mottagarna tillgång till personuppgifter om besökarna på webbplatsen.
  7. När det gäller ett förhållande mellan personuppgiftsansvarig och personuppgiftsbiträde: Förklara hur ni säkerställer att Mottagaren inte behandlar personuppgifterna för egna ändamål eller för tredje parts ändamål. Om detta säkerställs genom ett avtal, ange den specifika bestämmelsen och förklara när och hur ni kontrollerar efterlevnaden.
  8. Googles användarvillkor som gäller för Google Analytics och villkoren för databehandling skulle uppdateras den 31 augusti 2020 enligt de bevis som bifogats klagomålet, medan sökanden besökte webbplatsen den 12 augusti 2020. Vänligen ge oss en översikt över de relevanta ändringarna (om möjligt, med ett dokument med spårade ändringar eller en sammanfogad och jämförd version) för vart och ett av dessa dokument, från den 12 augusti 2020 fram tills nu. Vänligen informera oss om alla andra ändringar hittills och lämna in ytterligare dokument med spårade ändringar eller sammanslagna versioner.
  9. Beskriv er användning av Verktyget. Ange särskilt: vilka inställningar använder ni? Vilken av Verktygets tjänster – om olika tjänster erbjuds – använder ni? Vänligen lämna in ”skärmdumpar” från Verktygets administrativa webbplats som visar era inställningar och aktiverade tjänster.

Del III: Överföring av personuppgifter till tredjeländer

  1. I sin dom av den 16 juli 2020, mål C 311/18, slog EU-domstolen fast att beslutet om skölden för skydd av privatlivet (kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016) var ogiltigt. Beskriv om och när ni har kontrollerat om detta avgörande gäller för de internationella dataöverföringar som följer av er inbäddning av koden för Verktyget på er webbplats.
  2. Om ni drar slutsatsen att detta avgörande inte gäller er användning av Verktyget, ange skälen till denna slutsats i detalj.
  3. Om ni har kommit fram till att detta avgörande gäller för er användning av Verktyget, beskriv på vilket överföringsverktyg enligt 5 kap. dataskyddsförordningen som ni baserar uppgiftsöverföringarna till tredjeländer, särskilt till USA, och om och hur ni har anpassat er information enligt artikel 13.1 f dataskyddsförordningen, eller – om tillämpligt i ert fall – i enlighet med artikel 14.1 f dataskyddsförordningen?
  4. Om ni baserar uppgiftsöverföringarna till USA på standardavtalsklausuler för dataskydd som antagits av kommissionen i enlighet med artikel 46.2 c i dataskyddsförordningen, vänligen ange med vilka ni har undertecknat sådana standardavtalsklausuler, ange vilken mall från kommissionen som användes för att ingå standardavtalsklausuler (standardavtalsklausuler för överföring mellan två personuppgiftsansvariga eller för överföring av personuppgifter till personuppgiftsbiträden etablerade i tredje land) och lämna in undertecknade kopior av dem.
  5. Om ni har ingått sådana standardavtalsklausuler, har ni (med Mottagarna) kontrollerat att det inte finns något i tredjelandets lagstiftning som förbjuder mottagarna att uppfylla sina avtalsförpliktelser enligt standardavtalsklausulerna för att säkerställa att nivån på uppgiftsskyddet för fysiska personer som garanteras inom EES inte undergrävs?
  6. Om ni drar slutsatsen att Mottagarna i själva verket kan garantera att de avtalsförpliktelser som anges i standardavtalsklausulerna fullgörs, beskriv skälen till denna slutsats i detalj och lämna in bevisning för dessa fakta.
  7. Om ni kommit fram till att Mottagarna inte kan garantera att de avtalsförpliktelser som anges i standardavtalsklausulerna fullgörs, har ni övervägt genomförandet av kompletterande åtgärder och om ja, vilka? Har ni kontrollerat att dessa kompletterande åtgärder kan genomföras i praktiken och att det inte finns något i tredjelandslagstiftningen som hindrar Mottagarna från att göra det för att säkerställa att nivån på uppgiftsskyddet för fysiska personer som garanteras inom EES inte undergrävs? Ange resultatet av denna bedömning och skälen till er slutsats i detalj.
  8. Om ni baserar de internationella uppgiftsöverföringarna på ett undantag i enlighet med artikel 49.1 i dataskyddsförordningen, förklara vilket undantag de grundar sig på och hur användningen av detta undantag är förenlig med allmänna principer för överföringar enligt artikel 44 i dataskyddsförordningen.
  9. Om ni fortsätter att överföra uppgifter trots slutsatsen att, med hänsyn till omständigheterna kring överföringen och eventuella kompletterande åtgärder, lämpliga skyddsåtgärder inte skulle säkerställas, har ni underrättat er behöriga tillsynsmyndighet? Såvitt vi vet har vi inte fått en sådan anmälan. 26. Om ni fortfarande bäddar in koden för Verktyget på er webbplats, lämna in ert register över behandling i enlighet med artikel 30.1 e dataskyddsförordningen.

Ert svar

Svara skriftligt och på svenska till Datainspektionen senast fem veckor efter att ni mottagit denna skrivelse. Datainspektionen vill också att ni så snart efter att ni mottagit denna skrivelse bekräftar detta.

Era svar ska vara heltäckande och lämnas åtskilt för varje fråga, exempelvis genom att ni i er svarsskrivelse använder respektive fråga som rubrik och anger svar på frågan inunder. Om någon fråga inte är tillämplig anger ni det.

Förutsatt att svaret inte innehåller några integritetskänsliga personuppgifter eller uppgifter som kan omfattas av sekretess, kan ni e-posta det till datainspektionen@datainspektionen.se och referera till vårt diarienummer.

Om ni utöver svaren på våra frågor behöver hänvisa till ytterligare information eller handlingar så ange detta och vad ni vill visa med dem men skicka inte in handlingar som inte är nödvändiga för att besvara frågorna eller som vi inte i frågorna har begärt att ni ska lämna in.

Måste ni svara Datainspektionen?

Ja, Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen, GDPR (not 1). Det innebär att vi får begära att ni lämnar all information som Datainspektionen behöver för att vi ska kunna fullgöra våra uppgifter som tillsynsmyndighet. (Not 2)

Gemensam ärendehandläggning med andra tillsynsmyndigheter

Mot bakgrund av att det gäller ett gränsöverskridande klagomål kommer Datainspektionen använda sig av de mekanismer för samarbete och enhetlighet som finns i kapitel VII i dataskyddsförordningen.

Vad händer sen?

När Datainspektionen är färdig med granskningen kommer ni att få ett beslut. Där kommer ni att få besked om eventuella brister i ert dataskydd och om ni måste vidta några åtgärder. Datainspektionen kan exempelvis påföra administrativa sanktionsavgifter enligt dataskyddsförordningen (not 3). Om Datainspektionen bedömer att det finns anledning att påföra administrativa sanktionsavgifter kommer ni att informeras om detta och ges tillfälle att yttra er över omständigheter av betydelse för det.

Noter:

  1. Europaparlamentets och rådets förordning (EU) 2016/79 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
  2. Artikel 58.1 i dataskyddsförordningen.
  3. Artikel 58.2 och artikel 83-84 i dataskyddsförordningen.

Brevet avslutas med kontaktuppgifter till ansvarig handläggare.

Mer om Datainspektionens granskning och Google Analytics

Relaterat innehåll

Illustration av ett brev, samt texten "Newsletter"

Webperf #38

Nyhetsbrevet Webperf #38 – skickat 11:e juli. Google Analytics UA läggs ner, förbjuds av IMY och återuppstår med GA4 via EU-kommissionen.

Google Analytics logotyp

IMY: Sluta använd Google Analytics

Efter NOYB:s klagomål har IMY, efter snart tre års granskning, kommit fram till att Google Analytics inte funkar med GDPR och delar ut sanktionsavgifter till två företag. Tele2 och CDON.

Till toppen