Efter en omfattande utredning har Integritetsskyddsmyndigheten (IMY) beslutat att fyra företag, CDON, Coop, Dagens Industri och Tele2, måste avsluta användningen av Google Analytics för besöksstatistik. Denna beslutsamhet grundar sig på klagomål från intresseorganisationen None of Your Business (NOYB), i ljuset av EU-domstolens så kallade Schrems II-dom.
Utredningen visade att dessa företag överfört personuppgifter (ip-adresser) till USA genom Google Analytics, vilket strider mot GDPR, den nuvarande dataskyddsförordningen. Enligt denna förordning får personuppgifter endast överföras till tredjeland om EU-kommissionen beslutat att landet i fråga har tillräcklig skyddsnivå för personuppgifter, något som USA för närvarande inte anses ha.
Följande citat går att läsa i de olika besluten:
”Vid klagandens besök sattes (enligt punkt 1 ovan) nämnda identifierare i kakor med namnen ”_gads”, ”_ga” och ”_gid” och överfördes därefter till Google LLC. Dessa identifierare har skapats med syftet att kunna särskilja individuella besökare, såsom klaganden. De unika identifierarna gör därmed besökarna på Webbplatsen identifierbara. Även om sådana unika identifierare (enligt punkt 1 ovan) i sig inte skulle anses göra enskilda identifierbara, måste det dock beaktas att dessa unika identifierare i det aktuella fallet kan kombineras med ytterligare element (enligt punkterna 2–4 ovan) samt att det är möjligt att dra slutsatser i förhållande till information (enligt punkterna 2–4 ovan) som medför att uppgifter utgör personuppgifter, oaktat om IP-adressen inte överförts i sin helhet”
Även detta går att läsa i de olika besluten:
”När det gäller Googles åtgärd ”anonymisering av IP-adresser” i form av trunkering24 framgår det inte av Googles svar om denna åtgärd sker före överföringen, eller om hela IP-adressen överförs till USA och förkortas först efter överföringen till USA. Ur teknisk synvinkel har det således inte visats att det inte finns potentiell tillgång till hela IP-adressen innan den sista oktetten trunkeras.
Mot denna bakgrund konstaterar IMY att de ytterligare skyddsåtgärder som vidtagits av Google inte är effektiva, eftersom de inte hindrar amerikanska underrättelsetjänsters möjlighet att få åtkomst till personuppgifterna eller gör sådan åtkomst verkningslös.”
För att hantera detta, erbjuder vi på Angry Creative våra kunder en övergång till Matomo, ett webbanalysprogram som ger full kontroll över datan. Till skillnad från fjärrhostade tjänster (som Google Analytics, Webtrends eller Adobe Analytics), installerar du Matomo på din egen server och datan spåras inuti din databas. Detta ger dig full kontroll över din data och eliminerar risken för överföring av personuppgifter till USA.
Läs mer om beslutet här: https://www.imy.se/nyheter/fyra-bolag-maste-sluta-anvanda-google-analytics/