Schrems II-domen och Google Analytics
Förra sommaren den 16 juli slog EU-domstolen fast i Schrems II-målet att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när de förs över till ett tredjeland, till exempel USA. I detta inlägget kommer vi att resonera kring hur Schrems II-domen kommer att påverka användningen av Google Analytics och andra verktyg för webbanalys - och vad du kan göra i dagsläget för bättre och mer “compliant” datahantering på er webbplats.
Vad är Privacy Shield?
För att göra det kortfattat så är Privacy Shield en överenskommelse för att skydda personuppgifter när dessa förs över mellan EU och USA. Denna överenskommelse innefattar ett antal olika principer som beskriver hur personuppgifter ska hanteras när dessa förs över från EU till USA. Det finns vissa “översynsmekanismer” som ser till att dessa principer följs.
Om företag i USA vill anmäla sig till Privacy Shield ska de anmäla detta till U.S. Department of Commerce’s International Trade Administration (ITA) att de följer principerna enligt överenskommelsen och därefter ska ITA ska upprätta och tillhandahålla en lista över dessa företag.
Vad innebär Schrems II-domen?
Till följd av Schrems II-domen inledde Datainspektionen en granskning som en del av ett samarbete på EU-nivå av vissa svenska företag som CDON och Coop om hur de använder Google Analytics. Granskningen berör i första hand Google Analytics, men även andra liknande analysverktyg som Facebook-Pixel och LinkedIn-Insight Tag. Det ser också ut som att det är den “gamla” versionen av Google Analytics som granskas och inte den nya varianten Google Analytics 4 som lanserades under 2020. De företagen som har granskats har fått 25 frågor som ger oss en inblick om hur Datainspektionen ser på Google Analytics.
Frågorna handlar mer eller mindre om vilka uppgifter som skickas och om dessa uppgifter förs över till tredjeland med koppling till GDPR.
Vad innebär personuppgifter i Google Analytics?
Personuppgifter innebär uppgifter som kan hjälpa till att identifiera en specifik individ. I de 25 frågorna från Datainspektionen definieras både IP-adress och “webbläsarbetende” som personuppgifter. Att IP-adresser klassas som personuppgifter är inget nytt men vad innebär “webbläsarbeteende” egentligen?
Det är inte helt klart vad Datainspektionen klassar som “webbläsarbetende” men som det ser ut nu definieras det som vilka typer av interaktioner som har genomförts på en webbplats som, klick, sidvisningar, scrollningar, tid på sessions med mera.
Även metadatan som sparas klassas som personuppgifter. Metadata innebär användaridentifiering (ID-nummer) för annonsering, webbläsare, operativsystem, skärmstorlek, språk i webbläsare, geografisk plats med mera.
Med hjälp av metadata som ID-nummer och en kombination av olika metadata kan man skapa så kallade Digitala Fingeravtryck som med en ganska stor träffsäkerhet kan identifiera en specifik webbläsare. Dock finns det inget stöd i Google Analytics för digitala fingeravtryck och det är heller inte tillåtet att spara digitala fingeravtryck i Google Analytics.
Som standard i Google Analytics spåras endast webbläsare och inte enskilda personer. Vanligtvis används webbläsare av personer men de kan också användas av olika program eller verktyg för att skapa en så kallad “bot”. För att spåra personer i Google Analytics så går detta att göra i samband med en inloggning, men detta görs inte i standardversionen utan detta behöver man specifikt ställa in.
Vad ska man göra?
Man kan börja med att ställa sig frågan: Är mitt företag i behov av Google Analytics? Vilken data är användbar för mitt företag?
Just nu verkar man inte kunna använda Google Analytics och vara 100% compliant med GDPR. Samtidigt så behöver kanske inte alla företag vara 100% compliant. Jobbar man med digital marknadsföring och är beroende av Google Analytics finns det flera saker man kan göra för att försöka följa regelverket så långt det går.
1. Implementera en korrekt cookie-banner
För att en cookie-banner ska vara korrekt krävs det att alla typer av kakor är kategoriserade och att man kan klicka i boxar för vilka kategorier som man tillåter. T.ex Google Analytics hamnar under kategorin “Statistik” eller “Marknadsföring”, och användaren måste själv aktivt välja att samtycka till detta för att det ska vara okej. Sen finns det ju också Cookies som är nödvändiga för att webbplatsen ska fungera korrekt, då placeras dessa Cookies under kategorin “Nödvändiga”. Användaren ska även tydligt kunna läsa mer om exakt vilka cookies det handlar om och vad de gör.
Man får heller inte gömma webbplatsen bakom en så kallad Cookie-wall som gör att man inte kan komma åt webbplatsen utan att tillåta Cookies.
Man ska också enkelt kunna avaktivera Cookiesen, detta kan man göra i webbläsaren.
2. Anonymisering av IP-adresser
Då vi som använder Google Analytics inte kan se rapporter på specifika IP-adresser så skickas dessa till Google per automatik. Man kan däremot göra en inställning i Google Tag Manager som tar bort de två sista siffrorna i IP-adressen vilket gör det omöjligt att identifiera IP-adressen.
3. Filtrera datan innan den skickas till tredjeland
Man kan även filtrera bort annan metadata med hjälp av Google Tag Managers nya version som kallas Server Side Tracking, med hjälp av detta verktyget så kan man använda en egen server och därmed filtrera bort data som man inte vill skicka till Google och liknande företag baserad. Detta tillvägagångssätt kan dock tillföra en extra kostnad för hosting av server.
Sammanfattning
Förhoppningen är att granskningen som genomförs av Datainspektionen ska ge oss klarhet i vad som kommer att gälla för användningen av Googles Analytics och även andra liknande analysverktyg och scripts från Facebook, LinkedIn, Hotjar med mera.