Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en reprimand mot Meteorologiska institutet för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Meteorologiska institutet (den personuppgiftsansvarige) använt Google Analytics och reCAPTCHA-tjänster inklusive cookies på sin webbplats. Eftersom Google är en USA-baserad tjänsteleverantör överfördes personuppgifter om den personuppgiftsansvariges webbplatsbesökare, såsom ip-adress och annan information som kan användas för att identifiera en registrerad, till USA genom användningen av Google-tjänsterna i fråga.
Efter att en webbplatsanvändare först kontaktat den personuppgiftsansvarige i frågan lämnade den personuppgiftsansvarige in en anmälan om personuppgiftsincident till Dataombudsmannens byrå i september 2022. Enligt den personuppgiftsansvarige började personuppgiftsincidenten den 1 januari 2010, och antalet registrerade som påverkades uppskattades till 330 000. Till följd av detta inaktiverade den personuppgiftsansvarige de aktuella Google-tjänsterna från sin webbplats i september 2022.
Dataombudsmannens byrå redogjorde inledningsvis för att överföring av personuppgifter till ett tredjeland endast ske om den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller de villkor som anges i kapitel V i GDPR. Dataombudsmannens byrå hänvisade därefter till Schrems II-domen (C-311/18) och ansåg att den personuppgiftsansvarige brutit mot artiklarna 44 och 46 i GDPR eftersom (i) den personuppgiftsansvarige inte fastställt en rättslig grund för överföringarna i enlighet med kapitel V i GDPR, samt (ii) den personuppgiftsansvarige inte heller vidtagit nödvändiga skyddsåtgärder för överföringarna. Den personuppgiftsansvarige hade därför olagligen överfört personuppgifter om besökare på sin webbplats till USA genom att använda Google Analytics och reCAPTCHA-tjänster.
Dataombudsmannens byrå tog också hänsyn till att den personuppgiftsansvarige inte genomfört en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 GDPR för dataöverföringarna. Enligt Dataombudsmannens byrå innebar den personuppgiftsansvariges behandling en sannolik hög risk i den mening som avses i artikel 35.1 GDPR och att möjligheten för amerikanska myndigheter att få tillgång till personuppgifterna utgör en hög risk för en fysisk persons rättigheter och friheter.
Till följd av detta utfärdade Dataombudsmannens byrå en reprimand mot den personuppgiftsansvarige och beordrade den personuppgiftsansvarige att radera alla personuppgifter som överförts till USA utan en laglig grund. Eftersom den personuppgiftsansvarige redan inaktiverat Google-tjänsterna från sin webbplats ansåg Dataombudsmannens byrå inte att det var nödvändigt att beordra den personuppgiftsansvarige att göra detsamma och att se till att behandlingen överensstämmer med dataskyddsförordningen.
Dataombudsmannens byrå betonade i beslutet att personuppgiftsansvariga inte kan överföra sitt ansvar till de registrerade genom att till exempel instruera de registrerade att installera ett Google-tillägg i sin webbläsare för att blockera användningen av Googles spårningsteknik, såsom Google Analytics. Dataombudsmannens byrå betonade även att Google-tillägget inte helt förhindrar överföringen av den registrerades uppgifter till Google, eftersom det inte förhindrar nedladdningen av Google Analytics-skript från Googles servrar.