Varför regnar det tillsynsbeslut om Google Analytics?
Så här långt under 2022 har frågan om Google Analytics förenlighet med GDPR dominerat rubrikerna. Efter ett antal tillsynsbeslut från bland annat Frankrike och Österrike ställs vi inför frågan om rättsläget har klarnat och i så fall hur. I den här artikeln analyserar Advisense vilka slutsatser som kan dras.
Varför är Google Analytics i rampljuset just nu?
Augusti 2020 – d.v.s. ca en månad efter EU-domstolens dom i Schrems II – lämnade den ideella föreningen None of Your Business (”NOYB”) in 101 klagomål till tillsynsmyndigheter i 30 EU/EES-länder. Dessa klagomål tog sikte på Google Analytics och Facebook Connect – närmare bestämt hur dessa tjänster används på europeiska hemsidor för att i ett andra led överföra personuppgifter till USA.
Den gångna tiden har den österrikiska samt den franska tillsynsmyndigheten tagit beslut utifrån två av dessa 101 klagomål. Därtill har en tysk delstatsdomstol i Bayern meddelat en dom utifrån en enskilds talan (d.v.s. inte utifrån ett tillsynsbeslut). Tillsynsmyndigheternas samarbetsorgan European Data Protection Board (”EDPB”) har upprättat en Task Force för att hantera dessa klagomål och verka för en enhetlig tolkning inom EU/EES. Med andra ord är betydligt fler beslut att vänta.
Som lök på laxen har den Europeiska dataskyddsombudsmannen (”EDPS”) genom ett tillsynsbeslut utfärdat en varning mot självaste EU-parlamentet. Samtliga beslut har i skrivande stund inte vunnit laga kraft och kan således överklagas till domstol.
Det är en förenkling att säga att samtliga tillsynsbeslut tagit sikte på Google Analytics. I denna artikel har vi dock avgränsat oss till besluten avseende Google Analytics eftersom det är den gemensamma nämnaren mellan besluten. Inte minst är det en av de mest använda kakorna (cookies) som används på hemsidor.
Vilken data insamlas genom Google Analytics?
Det korta svaret är att det beror på hur Google Analytics används. Förklaringen är att det finns inställningar i Google Analytics som påverkar vilka personuppgifter som insamlas och hur dessa uppgifter delas. Varje hemsidesägare behöver därför börja med att utreda vilka tjänster (genom cookies, pixlar med mera) som implementerats på en hemsida och vilka typer av data som insamlas genom hemsidan.
Den tillsynsmyndighet som gör en närmare analys av vilken data som insamlas och överförs är den österrikiska. Två typer av data insamlades: (1) IP-adresser och (2) webbläsarinställningar. Med webbläsarinställningar avsågs i sammanhanget vilken webbläsare som användes (Chrome, Explorer, Safari m.fl.), språkversion av webbläsaren, användarens skärmupplösning, färgåtergivelse på bildskärmen med mera (device fingerprinting). För att dessa två typer av data ska omfattas av GDPR krävs att de är personuppgifter – med andra ord att datan möjliggör identifiering av en användare.
Är den insamlade data personuppgifter?
Den österrikiska tillsynsmyndigheten kom till slutsatsen att dessa uppgifter är onlineidentifikatorer som utgör personuppgifter i GDPR:s mening. Förenklat baserade tillsynsmyndigheten denna slutsats på två rättskällor: Artikel 29-gruppens vägledning om personuppgifter och beaktandeskäl 26 till GDPR. Ett beaktandeskäl är inte en juridisk bestämmelse utan utgör tolkningsunderlag vid tolkning av GDPR.
Det bör här konstateras att rättsläget är klart i den delen att avgörande för om data är en ”personuppgift” eller inte är om det är möjligt att identifiera en person – inte om data används för ändamålet att identifiera en person eller om en person faktiskt är identifierad. Knäckfrågan är med andra ord utifrån vilka kriterier som en bedömning av möjligheten att identifiera en person ska göras. Personuppgifter kan därför beskrivas som ett kontextuellt koncept i den bemärkelsen att sammanhanget som data insamlas och behandlas i, kan var avgörande. En bedömning ska inte göras utifrån hemsideägarens möjlighet till identifikation, ensamt.
EU-domstolen har i Breyer (punkten 49) kommit till slutsatsen att en dynamisk IP-adress är en personuppgift när mottagare av denna IP-adress ”förfogar över lagliga medel som gör det möjligt för vederbörande att identifiera den registrerade”. En sådan hänvisning till lagliga medel saknas dock i beaktandeskäl 26. Frågan är därför om i vart fall webbläsarinställningarna hade utgjort personuppgifter vid en prövning enligt Breyer. Med det sagt är Breyer ett svårtolkat mål som visat sig svårt att tillämpa i praktiken. Kontentan är dock att tillsynsmyndighetens slutsats inte är självklar och det är en extensiv tolkning av vad som är en ”personuppgift”.
Vilka skyddsåtgärder användes för överföringen av data till USA?
När personuppgifter ska överföras till ett land utanför EU/EES (ett tredjeland) som saknar adekvat skyddsnivå ska en Transfer Impact Assessment (”TIA”) genomföras. En TIA är en konsekvensanalys som består av tre övergripande delar: (1) en bedömning av typ av personuppgifter som ska överföras och vilken typ av behandling som ska genomföras i tredjeland, (2) en bedömning av skyddet för personuppgifter enligt lag och praxis i tredjelandet, och (3) en bedömning av risken för otillåten åtkomst till personuppgifter vid överföringenutifrån kompletterande skyddsåtgärder som planeras att användas.
Den franska tillsynsmyndigheten konstaterade att EU-domstolen genom Schrems II redan genomfört steg två i en TIA för överföring av personuppgifter till USA; d.v.s. en bedömning av skyddet för personuppgifter enligt lag och praxis. Därefter konstaterar den franska tillsynsmyndigheten att om mottagaren i USA kan ta del av personuppgifter (i detta fall IP-adress) i klartext finns det inte ett tillräckligt skydd och överföringen är därför inte tillåten.
Den franska tillsynsmyndigheten berör ytligt frågan om möjligheten att använda inställningarna i Google Analytics för att anonymisera IP-adresser. Om uppgifter anonymiserats omfattas det inte av GDPR eftersom anonymiserade uppgifter inte kan användas för att möjliggöra identifiering av en person. Tillsynsobjektet hade inte visat när anonymiseringen av IP-adressen kunde genomföras – d.v.s. före eller efter överföringen – varför denna fråga inte analyserades närmare av tillsynsmyndigheten. Lärdomen i denna del är att det är en sak att ha rätt och en annan att få rätt. Till syvende och sist är det den personuppgiftsansvarige som har bevisbördan för hur denna följer GDPR.
Den österrikiska tillsynsmyndigheten konstaterade i sin tur att risken för att amerikanska myndigheter kommer begära att IP-adressen utlämnas från Google saknar relevans i sammanhanget. Eftersom det inte är visat att de kompletterande skyddsåtgärderna kan förhindra amerikanska myndigheter att ta del av personuppgifterna så är överföringen av personuppgifter därför inte tillåten. Därtill kom den österrikiska tillsynsmyndigheten till slutsatsen att de kompletterande åtgärder som vidtagits hade karaktären av allmänna informationssäkerhetsåtgärder som enligt GDPR ska vidtas – oavsett om personuppgifterna ska överföras till ett tredjeland eller inte.
Värt att tillägga var att den österrikiska tillsynsmyndigheten uttryckligen underkände argumentet om att tillämpa en riskbaserad metod för att genomföra en TIA inom ramen för standardavtalsklausuler. Tillsynsmyndigheten kom till slutsatsen att GDPR:s regelverk om överföring av personuppgifter till tredjeland inte är riskbaserat – och om en riskbaserad metod hade tillämpats för den aktuella överföringen så hade det varit fråga om en överföring med hög risk. Motiveringen var att IP-adresser används av amerikansk underrättelsetjänst att kartlägga användare på internet på ett systematiskt sätt.
Är det förbjudet att använda Google Analytics i EU/EES?
Svaret kan inte ges genom ett enkelt ja- eller nej-svar. Det vi dock kan konstatera är att den hemsideägare som vill använda sig av Google Analytics har en juridisk uppförsbacke.
För det första är det viktigt att poängtera att besluten tar sikte på frågan om överföringen av personuppgifter till USA är förenlig med GDPR. Besluten har med andra ord inte prövat om det finns en rättslig grund för behandling av personuppgifter genom analystjänster som t.ex. Google Analytics. Dessa beslut gör inte anspråk på att besvara samtliga rättsliga frågor utan ska tvärtom läsas som beslut som tar sikte på en fråga – överföring.
För det andra har tre beslut meddelats än så länge, vilket betyder att vi kan vänta upp till 99 tillsynsbeslut till. Ingen av dessa tre beslut har vunnit laga kraft och kan därför omprövas av en domstol efter en överklagan. Vi ska därför vara försiktiga med att dra allt för långtgående slutsatser.
Med det sagt har två beslut varit föremål för samråd med andra tillsynsmyndigheter genom EDPB. Det talar för att det råder en nivå av samstämmighet mellan tillsynsmyndigheterna avseende hur överföring av personuppgifter, inom ramen för Google Analytics, ska betraktas.
För det tredje är utgår tillsynsbesluten, i synnerhet det österrikiska, från en mycket extensiv tolkning av vad som är en personuppgift. Denna tolkning är inte utan invändningar och det hade varit önskvärt med en närmare analys om hur denna tolkning förhåller sig till EU-domstolens praxis i Breyer.
För det fjärde är tillsynsmyndigheterna närmast kategoriska i att det inte är möjligt att överföra personuppgifter till USA på grundval av standardavtalsklausuler i kombination med kompletterande skyddsåtgärder. Därtill avfärdas en riskbaserad metod utifrån till exempel uppgifternas känslighetsgrad eller risken för obehörig åtkomst.
Det bör sägas att USA – med alla sina brister – är en demokratisk rättsstat. Om tillsynsmyndigheternas resonemang ska tillämpas på andra överföringar utesluts en stor del av världen, inte minste utvecklingsländer. Hur ska till exempel överföringar till Indien bedömas?
FCG har god erfarenhet av att lämna rådgivning om överföring av personuppgifter till tredjeland. Vi söker alltid de lämpligaste lösningarna för ditt företag med syfte att hantera överföring på ett praktiskt och resurseffektivt sätt. Kontakta oss för mer information.
