Svenske selskaper oppfordres til å slutte å bruke Google Analytics
Overføring av personopplysninger til USA anses å være i strid med General Data Protection Regulation (GDPR).
Den svenske personvernmyndigheten (IMY) har undersøkt hvordan fire svenske selskaper overfører personopplysninger til USA via Google Analytics, for å se om overføringen bryter med personvernforordningen (GDPR).
Tele2 må dermed betale 12 millioner svenske kroner i sanksjonsgebyr, mens CDON må hoste opp 300.000 svenske kroner. Coop og Dagens Industri slipper på sin side unna med en reprimande.
Etter sigende har Tele2 nylig på eget initiativ besluttet å slutte å bruke Google Analytics. De andre kontrollerte selskapene oppfordres på sin side til å slutte å bruke verktøyet så snart som mulig.
– Disse beslutningene har ikke bare betydning for disse fire selskapene, men kan også gi veiledning til andre organisasjoner som bruker Google Analytics, sier advokat Sandra Arvidsson, som ledet gjennomgangen.
Datatilsynet
Det norske Datatilsynet har også kommet til at Google Analytics ikke er i tråd med personvernforordningen. Men de har ikke kommet med et endelig vedtak ennå. Blant annet for å koordinere med de andre europeiske tilsynsmyndigheten.
Siden det har kommet så mange klager om bruk av Google Analytics på europeisk nivå, har Det europeiske personvernrådet (EDPB) opprettet en egen arbeidsgruppe for å koordinere klagesaksbehandlingen. Datatilsynsmyndighetene har nemlig plikt til å tolke GDPR likt i hele EØS.
– EDPB gjør en god jobb i å sikre at tilsynsmyndighetene anvender loven på en harmonisert måte. Når det gjelder bruk av Google Analytics, har det vokst frem en klar europeisk konsensus, sier seksjonssjef Tobias Judin i Datatilsynet.
Grenseoverskridende
Datatilsynsmyndighetene i Østerrike, Frankrike og Italia, samt datatilsynsmyndigheten for EU-organene (EDPS), har allerede fattet vedtak om at bruk av Google Analytics er i strid med personvernreglene. Dessuten trekker det danske Datatilsynet samme konklusjon i en veileder om temaet, og datatilsynsmyndigheten i Liechtenstein har også uttalt seg kritisk om verktøyet.
Ifølge Datatilsynet er denne saken såkalt grenseoverskridende. Det betyr at før de kan fatte et vedtak, må de sende utkast til avgjørelse til andre berørte datatilsynsmyndigheter i EØS. De har så rett til å komme med innsigelser innen én måned dersom de er uenige i vurderingene våre.
Det er først etter dette at Datatilsynet vil fatte et vedtak i saken.