Google Analytics är en populär tjänst för webbanalys som används av många företag och organisationer. Användning av Google Analytics kräver ett samtycke enligt dataskyddsförordningen (“GDPR”). I denna artikel förklarar vi varför.
Vad är Google Analytics?
Google Analytics är en kostnadsfri tjänst som Google tillhandahåller webbplatsinnehavare. Verktyget gör det möjligt att samla in uppgifter om webbplatsbesökarnas beteende som till exempel vilka sidor som besöks mest, hur besökare klickar sig genom webbplatsen och orten där besökarna befinner sig. Beroende på tjänstens konfiguration är det även möjligt att kartlägga webbplatsbesökarna baserat på demografiska kriterier som ålder och kön.
Behandling av personuppgifter
Google Analytics behandlar personuppgifter som till exempel webbplatsbesökares IP-adresser. Därutöver behandlar tjänsten även andra typer av uppgifter om webbplatsbesökarna som till vistelseort. Dessa uppgifter kan kombineras med andra uppgifter som Google har samlat in om webbplatsbesökaren som till exempel demografiska uppgifter. Google använder metoder för pseudonymisering av personuppgifter som till exempel maskering eller kodning. Även pseudonymiserade personuppgifter utgör personuppgifter i GDPR:s mening (läs mer om detta här). Användning av Google Analytics innebär således en behandling av personuppgifter som omfattas av GDPR. Denna uppfattning bekräftas av tillsynsmyndigheter för dataskydd runt om i Europa (se till exempel vägledningar från Norge, Tyskland och Frankrike).
Google Analytics kräver ett samtycke
Behandling av personuppgifter kräver en rättslig grund. En vanlig missuppfattning är att en webbplatsinnehavare har ett berättigat intresse att analysera webbplatsbesökarnas beteende med hjälp av Google Analytics eller något liknande verktyg. Ett sådant berättigat intresse föreligger dock inte då webbplatsbesökaren inte rimligen kan förvänta sig att dennes personuppgifter kommer att användas för riktad direktmarknadsföring, att uppgifterna kommer att kombineras med uppgifter som samlats in om besökaren från andra källor, att uppgifterna kommer att delas med tredje parter och att uppgifterna kommer att bli föremål för omfattande analyser. Att använda personuppgifter för dessa ändamål går långt utöver det som är tillåtet inom ramen för en parts berättigade intresse och avviker väsentligt från en situation där webbplatsinnehavaren endast samlar in statistik om antalet besökare.
En annan vanlig missuppfattning är att användning av Google Analytics eller liknande tjänster kan grundas på användarvillkoren som webbplatsbesökarna godkänner (antingen genom att besöka webbplatsen eller genom att godkänna dessa via en kryssruta). Som utgångspunkt kräver användaravtal inte att personuppgifter behandlas för ovanstående ändamål som till exempel riktad direktmarknadsföring.
Det enda alternativet som kvarstår är således ett samtycke. Företag och organisationer som använder Google Analytics eller liknande verktyg måste således säkerställa att de hämtar in ett giltigt samtycke från webbplatsbesökarna. För att samtycket ska vara giltigt krävs det bland annat att den är frivilligt, det vill säga att webbplatsbesökaren ska kunna tacka nej till Google Analytics. Vidare kräver ett giltigt samtycke en aktiv handling från webbplatsbesökaren. En förkryssad ruta uppfyller således inte kraven på en aktiv handling (läs mer om detta här).
Ovanstående resonemang bekräftas i vägledningar från tillsynsmyndigheterna runt om i Europa och i EU-domstolens rättspraxis. Se till exempel dessa vägledningar från tillsynsmyndigheterna i Tyskland och Frankrike, samt EU-domstolens beslut i Planet 49.
Google är personuppgiftsansvarig
Europeiska tillsynsmyndigheter för dataskydd har tidigare ansett att Google är personuppgiftsbiträde för behandling av personuppgifter i samband med webbplatsinnehavarens användning av Google Analytics. Mot bakgrund av ny rättspraxis från EU-domstolen har tillsynsmyndigheterna dock reviderat denna uppfattning. Google betraktas numera vara personuppgiftsansvarig för behandling av personuppgifter i Google Analytics.
Google är personuppgiftsansvarig eftersom företaget bestämmer över ändamålen och medlen för den behandling av personuppgifterna som sker i Google Analytics. Personuppgifterna som samlas in med hjälp av verktyget används inte bara för att webbplatsinnehavaren ska kunna ta fram statistik över webbplatsbesökarna. Tvärtom använder Google personuppgifterna för egna ändamål som till exempel riktad direktmarknadsföring, samkörning, omfattande analyser och delning med tredje parter. Mot bakgrund av detta kan Google inte anses behandla personuppgifterna endast på uppdrag av webbplatsinnehavaren, varför Google inte kan klassas som personuppgiftsbiträde.
Detta leder till slutsatsen att webbplatsinnehavaren och Google är gemensamt personuppgiftsansvarig för behandling av personuppgifter i Google Analytics. Läs mer om detta i denna vägledning från Tysklands tillsynsmyndigheter för dataskydd.
Åtgärder
Webbplatsinnehavare rekommenderas att vidta följande åtgärder. Hämta in ett giltigt samtycke i enlighet med GDPR. För att ett samtycke ska vara giltigt måste den vara frivillig, specifik och informerad. Vidare krävs det en aktiv handling från webbplatsbesökaren för att samtycket ska vara giltigt. ”Passiva samtycken” som till exempel förkryssade rutor uppfyller inte kraven på en aktiv handling. Vidare måste webbplatsbesökaren kunna återkalla sitt samtycke på ett sätt som är lika enkelt som att lämna samtycket. Därutöver behöver webbplatsbesökaren informeras om behandling av personuppgifter i samband med användning av Google Analytics, inklusive överföring av personuppgifter till USA.
Risker
Webbplatsinnehavare som inte följer reglerna riskerar sanktionsavgifter från tillsynsmyndigheter. Till motsats från svenska tillsynsmyndigheter bedriver utländska tillsynsmyndigheter en alldeles mer aktiv tillsyn på detta område. Därutöver riskerar webbplatsinnehavare skadeståndskrav från webbplatsbesökarna. Vidare finns det en risk för grupptalan, som till exempel The Privacy Collectives grupptalan mot Oracle och Salesforce.
Till detta kommer att användning av Google Analytics innebär en överföring av personuppgifter till USA. Enligt en ny dom från EU-domstolen finns det en risk för att sådana överföringar strider mot reglerna för tredjelandsöverföringar som finns i GDPR (läs mer om detta här). Detta aktualisera ytterligare risker för sanktionsavgifter och skadeståndskrav.
Vill du lära dig mer om GDPR och digital marknadsföring kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och digital marknadsföring kan du läsa mer här.