Vad innebär Schrems II-domen för Google Analytics och din webbanalys?

Vad innebär Schrems II-domen för Google Analytics och din webbanalys?

Wasabi Web reder ut begreppen och det vi vet hittills. 

Bakgrund

  • 2011 – Österrikiska Max Schrems gjorde en termin som utbytesstudent i Silicon Valley, USA, i samband med sina juridikstudier. Han bestämde sig för att skriva sin slutuppsatts om Facebook och bristerna i hur de följde Europas lagar om personuppgifter. Han begärde därför ut ett registerutdrag med all information Facebook hade lagrat om honom, totalt 1200 sidor. 
  • 2013 – Max Schrems begärde att Facebook skulle sluta överföra hans privata information till USA och det utvecklades senare till en stämningsansökan mot Facebook. Målet hamnade i EU-domstolen och byggdes då delvis på att Facebook, enligt amerikansk lag, var skyldiga att ställa personuppgifter till amerikanska myndigheternas förfogande. Enligt Max Schrems anklagelser kunde dessa uppgifter sedan fritt användas av t.ex. FBI och NSA till olika former av massövervakning, vilket strider mot Europeiska lagar om skydd av individens integritet. 
  • 2015 – Målet, Schrems I, avgjordes och domen gjorde gällande att Safe Harbour, det dåvarande medlet för att skydda individers integritet utanför EU, inte alls höll måttet. Enligt Europeisk lag måste ett sådant medel erbjuda sk. adekvat skydd vid tredjelandsöverföring, vilket Safe Harbour misslyckades med att göra. Med tredjeländer avses länder som inte är med i EU eller EES, t.ex. USA. 
  • 2016 – EU-kommissionen fattade beslut om att ersätta Safe Harbour vid överföring av personuppgifter till tredjeländer. Beslutet bestod av nya regler för hur personuppgifter får behandlas och syftet var återigen att skydda individens grundläggande rättigheter. Ett sk. Privacy Shields-avtal upprättades och genom att företag i tredjeländer var tvungna att efterleva reglerna i avtalet kunde EU-kommissionen garantera att individen fick ett likvärdigt skydd vid överföring av personuppgifter även utanför EU/EES.
  • 2018 – GDPR (General Data Protection Regulation) trädde i kraft 25 maj och ersatte då Personuppgiftslagen (PuL). GDPR innefattar en rad bestämmelser kring hur personuppgifter får behandlas och lagras vilket gjorde att webbanalysverktyg var tvungna att uppdatera sina villkor och inställningar. För Google Analytics specifikt innebar det två stora förändringar i form av att tidsbegränsa lagring av data och att möjliggöra radering av data om individuella besökare. Strax efter att GDPR trädde i kraft lämnade Max Schrems och han organisation NOYB, None Of Your Business, in en ny stämningsansökan, denna gång mot både Facebook och Google. De menade att företagen inte följde det nya regelverket. Stämningsansökan utökades senare till att innefatta även bl.a Netflix, Spotify, Apple Music, YouTube och Amazon. 
  • 2020 – 16 juli föll domen i det andra målet som har kommit att kallas Schrems II. Precis som i det första målet misslyckades den dåvarande tredjelandsöverföringsmetoden att säkerställa adekvat skydd. Likt Safe Harbour underkändes Privacy Shields, med omedelbar verkan. Det innebär att det inte längre är lagligt att överföra personuppgifter till USA med stöd av att det företag som är mottagare av datan har certifierat sig inom Privacy Shield. 

Vad händer nu?

Trots att Schrems II-domen kom redan i somras är rättsläget fortfarande oklart. Det råder oklarheter i hur domen ska tillämpas framöver då parametrar i den inte har satts i praxis och prövats än. Komplexiteten består i två delar, dels tekniska frågetecken kring hur företag som främst “Big 5” ska hantera detta och dels exakt vilka uppgifter som ska anses som personuppgifter. 

Med “Big 5” menar man de största berörda aktörerna inom tech-branschen: Google, Facebook, Apple, Microsoft och Amazon. Dessa företag äger grunden och har tillgång till väldigt mycket av våra personuppgifter och data vilket gör att även om man väljer europeiska huvudleverantörer så kan dessa företag ha verktyg och lösningar som fungerar som underleverantörer. Dessa företag måste nu se över sina verktyg och klargöra vilka tekniska åtgärder som kan göras i dem för att kunna uppfylla de nya kraven och därmed kunna fortsätta använda dem.

I höstas inledde Integritetsskyddsmyndigheten, tidigare Datainspektionen, en granskning av flera företag och deras användning av Google Analytics med anledning av Schrems II-domen. Granskningen är ett samarbete på EU-nivå som utförs inom ramen för EDPB (Europeiska Dataskyddsstyrelsen) arbetsgrupp som har uppförts för att hantera de klagomål som har kommit in sen Schrems II-domen föll. I granskningen verkar både IP-nummer och ”webbläsarbeteende” som personuppgifter. Men exakt vad som menas med och innefattas av ”webbläsarbeteende” har inte definierats än. 

Webbanalysbranschens förhoppning är därför att granskningen ska ge klarhet i vad som kommer att gälla både för användandet av Googles verktyg, som t.ex. Google Analytics, men även av alla andra typer av verktyg, scripts och pixlar som kan köras på en webb, t.ex. Facebook, Hotjar, Linkedin och liknande. Wasabi Web följer utvecklingen och bevakar granskningen, den här texten kommer att uppdateras löpande vid ny relevant information. 

Kan man fortfarande använda Google Analytics? 

Den mest frekvent ställda frågan just nu inom dataanalys är: kan man fortfarande använda Google Analytics? Mot bakgrund av de oklarheter som fortfarande råder kan vi tyvärr inte svara varken ja eller nej med säkerhet i dagsläget. 

I Google Analytics Universal  finns möjligheten att anonymisera IP-adresser, men det är fortfarande omdebatterat hur vidare det sker på “rätt” ställe i dataflödet för att Google aldrig ska få tillgång till hela IP-adressen. 

Utöver det har Google också runt 20 inställningar för hur data ska samlas in och/eller delas mellan olika Google verktyg som t.ex. Google Search Console, Google Ads och Google Optimize. För varje sådan koppling måste olika avtal och villkor accepteras. Delningsinställningarna kan stängas av helt, men än så länge är det inte klarlagt om det i kombination med att anonymisera IP-adresserna kommer göra det möjligt att fortsätta använda Google Analytics inom ramen för vad som är tillåtet. 

Det ska också tilläggas att Integritetsskyddsmyndighetens granskning gäller Google Analytics Universal, alltså inte den nya versionen av Analytics (GA4) som lanserades i höstas. Google är självklart medvetna om Schrems II-domen och håller därför på att se över sina verktyg för att kunna hitta lösningar. GA4 anonymiserar IP-adresser per automatik och i kombination med Google Tag Manager erbjuder de fler funktioner än tidigare för just anonymisering även av övriga personuppgifter. Många delar av GA4 är dock fortfarande betaversioner och fungerar därmed inte fullt ut än. Har man ett befintligt Google Analytics-konto eller skapar ett nytt kan man enkelt ha dubbla egendomar så att man kan köra Google Universal och GA4 parallellt. På så sätt kan man börja testa, analysera och utvärdera GA4 innan man eventuellt väljer att gå över till den versionen helt. 

Vad händer om man inte följer Schrems II-domen?

Inte heller de exakta konsekvenserna av att inte följa de nya reglerna är klarlagda än i och med att inget fall har prövats efter Schrems II-domen föll än så länge. Men utgår man ifrån hur tidigare brott mot EU´s dataskyddförordning har behandlats så finns det risk för vite, sanktionsavgifter och skadestånd. 

Vad kan Wasabi Web göra? 

I väntan på förtydligande om hur Schrems II kommer att fungera i praktiken är webbanalys, som den har sett ut hittills, lite i limbo. Innan allt är klarlagt är det svårt att komma med de bästa rekommendationerna kring eventuella åtgärder. Vi har identifierat 4 olika sätt att ta sig an situationen på, baserat på den informationen vi har i dagsläget. 

  • Inget analysverktyg – Kartlägg användandet av ert analysverktyg. Hur mycket använder ni det idag? Till vad? Vilken information, statistik och data är ni beroende av? Att inte använda något analysverktyg alls kanske är det säkraste alternativet just nu, men vi rekommenderar inte att sluta använda Google Analytics helt utan att först undersökt möjligheterna att ändra inställningarna i det eller använda andra alternativ. Speciellt inte om ni regelbundet jobbar med er digitala marknadsföring eller kommer att jobba med det i framtiden, eftersom att ett webbanalysverktyg då är av yttersta vikt för att mäta och utvärdera effekten av era marknadssatsningar. 
  • Välja ett annat analysverktyg – Ersätt Google Analytics/liknande gratisverktyg med andra verktyg för dataanalys t.ex. skandinaviska/europeiska alternativ som Siteimprove, Matomo eller Vizzit. Tänk dock på att samtliga av dessa är betalverktyg till skillnad från Googles gratisversion. Det ska också tilläggas att Google har en enterprise-variant som än så länge inte har granskats och därför eventuellt också kan vara ett alternativ.
  • Filtrera bort data – Google har nyligen lanserat en ny version av verktyg Google Tag Manager där man kan använda sig av sk. Server Side Tracking vilket innebär att man kan köra sin egen server via Google och där då filtrera bort all data som man inte vill skicka vidare till Google Analytics (eller andra anslutna Google-tjänster). På så sätt kan man ta bort både IP-adresser och övrig ”webbläsarbeteende”-data så att Google Analytics aldrig får tillgång till det. I dagsläget är Server Side Tracking via Google Tag Manager endast tillgängligt i Google Cloud Platform och det tillkommer en kostnad för användandet. 
  • GA4 + “Cookie-consent” – Som ett komplement till den nya versionen av Google Analytics och Google Tag Manager jobbar Wasabi Web med att ta fram en teknisk ”Cookie-concent”-lösning som sen kan anpassas till respektive företags juridiska GDPR-policys och användarvillkor. Det ska fungera så att alla nya användare får frågan om de accepterar Cookies när de kommer in på webben. Om de väljer ”Nej” så triggas inte Google Analytics och får därmed inte tillgång till IP-adress eller annan ”Webbläsarbeteende”-data. Om de väljer “Ja” ger de sitt samtycke till företagets hantering av personuppgifter. Denna lösning är dock under utveckling och finns tyvärr inte klar att implementera än. 

Vi hjälper dig med tekniska åtgärder och lösningar

Behöver ni hjälp med att se över den tekniska aspekten av er webbanalys och vilka alternativ som finns kontakta Wasabi Web.

* Observera att denna artikel är skriven ur ett tekniskt perspektiv och är därmed inte ger några juridiska råd i frågorna runt detta. Wasabi Web vill understryka att de exakta rekommendationerna kring hur detta ska tillämpas och konsekvenserna av eventuellt felaktig hantering inte är klarlagt i dagsläget, därför ligger det i varje företags ansvar att göra sina egna avväganden. För juridisk rådgivning om vad som gäller för just ert företag rekommenderar vi att du kontaktar en IT-jurist eller ert dataskyddsombud. 

Redo att öka er digitala försäljning?


Ange dina kontaktuppgifter
så kontaktar vi dig så snart vi kan

Obligatoriskt