Uppdaterad: 29 08 2023

Integritetsskyddsmyndigheten (IMY) har tagit beslut om att fyra svenska företag ska sluta använda Google Analytics . Det är viktigt att förstå varför och på vilken grund. 

Därav har jag satt mig in i information som är tillgänglig idag den 18/7 samt dialog med IMY som besvarade min fråga gällande version via e-post den 29/8. Detta är således min personliga tolkning av tillgänglig information. 

Eftersom jag är säker på att fler undrar, så väljer jag att publicera min tolkning, dialog med IMY och anteckningar i frågan här på bloggen. Jag hoppas det skall hjälpa dig som företagsledare att reda ut om och hur ditt företag bör agera i den här frågan. 

Källor: beslut från IMY gällande varje enskild granskat företag. Se underlag och process längst ner i detta inlägg. Svar på fråga direkt till IMY om versionen som företagen använt. 

Bakgrund – vad har hänt?

Den 3 juli publicerade IMY fyra beslut gällande CDON, Coop, Dagens Industri och Tele2. IMY utfärdade en sanktionsavgift mot två av företagen, ett av företagen har på eget initiativ slutat använda statistikverktyget medan IMY har beslutat att övriga tre företag ska sluta använda Google Analytics. 

Kärnfrågan som underbygger IMY’s beslut är att IMY fått klagomål som kommit från intresseorganisationen None of Your Business (NOYB).  Klagomålen syftar till att företagen för över personuppgifter till USA via sitt användande av Google Analytics. Eftersom informationen då sparas på servrar som befinner sig i USA. 

Vilken version av Google Analytics gäller detta?

Vid granskning av beslutsunderlaget från IMY saknades en viktig pusselbit och det är vilken version av Google Analytics som detta gäller. Jag kontaktade IMY via e-post med min fråga och har nu fått svaret;

 

”Den version av Google Analytics som de fyra tillsynsbesluten avser är den version som användes den 14 augusti 2020, det vill säga innan GA4 lanserades.”

Eftersom Google Analytics 4 är ett gelt nytt verktyg som både samlar in och behandlar data på andra sätt, dvs ingen PII (personlig identifierbar information) samlas in eller sparas som grundinställning i verktyget eller IP-adresser (se länk längre ner för mer information). Det betyder att om ditt företag inte påverkat GA4 på något sätt tex via att samla in e-postadresser i verktyget från tex formulär, då bryter inte ditt företag mot några lagar.

MEN samlar ditt företag in tex information via formulär eller liknande och läser in det i GA4 utan att en ”redact” funktionalitet är aktiverad – då bryter ditt företag mot lagen. 

Vad innebär det för ditt företag?

Om jag tolkar beslutsunderlagen korrekt (se nedan), och min gissning är korrekt så innebär det att så länge ditt företag inte skickar till eller sparar data i Google Analytics 4 som kan på något sätt identifiera en person som tex;

• e-postadress, telefonnummer, namn, adress eller liknande
• identifierar person som medlem i en kundklubb (dvs inloggat läge) plus en identifierare på något sätt, tex e-postadress eller användarnamn
• har användarkategorier uppsatta för identifiera en prenumerant (se Dagens Industri)
• sparar IP-adresser (Google Analytics 4 loggar eller lagrar inte enskilda IP-adresser per default enligt Googles support-dokumentation)

Dvs är tolkningen följande; att så länge ditt företag inte tillför och sparar “extra” data i Google Analytics 4 som kan identifiera en person bör ditt företag vara på den säkra sidan av detta.

Vad du kan göra om du är osäker?

• Be en utvecklare eller implementations specialist att säkerställa att inga personuppgifter skickas till eller sparas i Google Analytics. Se tutorial här.
• Det kräver att du listar vilken information som inte skall inkluderas in i Google Analytics 4 till personen som skall utföra uppgiften.
• Radera data från Analytics. Du kan ta bort företagets data från GA4 oavsett anledning och när som helst. Om du till exempel oavsiktligt samlat in oönskad data, såsom personligt identifierbar information (PII) i Google Analytics, kan du begära att data raderas från Analytics-servrarna eller radera information för en enskild användare. Behöver ditt företag radera data i bulk finns det ett API för det.

Vad kan du göra för att undvika att spara persondata i Google Analytics 4?

Eftersom beslutens kärnfråga berör personuppgifter av svenska medborgare lagrade på amerikanska servrar så är det just det som bör undvikas eftersom det strider mot GDPR. (OBS! min tolkning utifrån nuvarande information)

Självklart bör du alltid ha samtycke till den information du samlar in om företagets webbplatsbesökare. Men om ditt företag fortfarande vill samla in information från webbplatsen och kunna kombinera den datan med annan data som tex en kundklubb. Då finns följande alternativ:

• Säkerställ samtycke från dina webbplatsbesökare och kunder (tänk på att utbyta värde och endast samla in den nödvändigaste!)
• Inte samla in eller spara persondata via  eller i Google Analytics, data ska vara “redacted”
• Använd andra verktyg för att samla in data från kundklubben till en data lake eller liknande vars server kan säkerställas och intygas att den befinner sig i Sverige.
• Kombinera datat i andra verktyg, som tex en data lake med CRM, boknings/orderdata och interaktionsdata från webbplatsen, plus Power BI eller något annat visualiseringsverktyg med servrar på plats i Sverige.

Vilka frågor som jag fortfarande vill få svar på

• Hur beslutet den 10 juli från EU-kommissionen om adekvat skyddsnivå för USA påverkar case som detta (jag behöver få tag på en relevant person att prata med eller information i frågan)

Detaljerna och processen som lett till ovan konklusion om Google Analytics och IMY’s beslut:

Hur ser de granskade företagens konfigurationer ut i Google Analytics?

För att förstå det hela bättre kikade jag på vad specifikt företagen samlade in i sitt Google Analytics konto i det beslutsunderlag som finns tillgängligt IMYs hemsida som åberopas som personuppgifter. 

I nedanstående lista har jag reducerat informationen under punkt 1.3.3 från beslutsunderlagen och lyft ut det som jag tolkar kan vara en nyckel till att personuppgifter hamnat i företagens konfiguration av Google Analytics. Därmed har personuppgifterna överförts till servrar i USA. Med undantag för Tele2 då deras lista inte var jämförbar då det utformats annorlunda, se referens. Notera att det jag lyft ut är vad jag gissar är nyckeln till att kunna identifiera en person i kombination med annan data som sparas i Google Analytics. Plus som i kombination med data från tredje part kan resultera i att identifiera en person om ett företag har de resurserna. (Det är så jag tolkar följande referenser i underlaget;  EU-domstolens dom Breyer, C-582/14, EU:C:2016:779, punkt 45–46 samt EU-domstolens dom M.I.C.M, C-597/19, EU:C:2021:492, punkt 102–104 samt dom Breyer, C-582/14,EU:C:2016:779, punkt 49.) 

CDON

• Om användaren är medlem i CDONS kundklubb 
• Lagt till eller tagit bort något i varukorgen
• Kommit till kassan eller slutfört ett köp

COOP

• Kundstatus (dvs. om användaren besöker Coops webbplats i inloggat eller
• utloggat läge eller som företagskund).
• Onlineidentifierare (t.ex. lP-adress, userID, transactionID, clientlD, gclid, dclid
• eller Device ID).
• Transaktionsdata utifrån värden som skickas in via variabler på webbplatsen
• (såsom antalKop, Transaction – dimension50 (boughtRecipe), Transaction –
• dimension7 (deliveryMethod), orderlD eller deliveryTime).

TELE2 (2.2.2 är använt då den listan var tydligare)

• Klagandens IP-adress.
• Unik(a) identifierare som identifierat den webbläsare eller enhet som använts
• för att besöka Webbplatsen samt en unik identifierare som identifierat Tele2
• (dvs. Tele2s konto-ID för Google Analytics).
• Webbadress (URL) och HTML-titel på den webbplats och webbsida som
• klaganden har besökt.
• Information om webbläsare, operativsystem, skärmupplösning,
• språkinställning samt datum och tidpunkt för åtkomst till Webbplatsen.

DI

• Användarkategori – exempelvis en flagga som visar om besökaren är
• prenumerant eller inte.

• S.k. ”egna dimensioner” – exempelvis vilken version av publiceringsplattform som en sidvisning skedde på, information om artikel (till exempel författare).

• IP-adresser – (dock enligt DI den IP-adress som behandlas tillsammans med uppmätt data (sidvisningsdata etc.) anonymiseras genom bolagets egenutvecklade process och som hanteras på en EU-baserad infrastruktur innan den skickas tillsammans)

29/08/2023: svar från IMY

”Tack för att du kontaktar Integritetsskyddsmyndigheten (IMY). Vi vill inledningsvis be om ursäkt för att vårt svar har dröjt. IMY:s upplysningstjänst är för tillfället under hög belastning.

Den version av Google Analytics som de fyra tillsynsbesluten avser är den version som användes den 14 augusti 2020, det vill säga innan GA4 lanserades.”

Foto av John Forson.