Efter att ha granskat Dagens Industri Aktiebolag, Coop Sverige AB CDON AB och Tele2 Sverige AB beslutar nu Integritetsskyddsmyndigheten, IMY, att förelägga bolagen att sluta använda statistikverktyget Google Analytics. Två av bolagen – CDON och Tele2 – ska dessutom betala en sanktionsavgift.

Enligt artikel 44 i dataskyddsförordningen överföring av personuppgifter till ett tredjeland – alltså ett land utanför EU/EES – bara ske om den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i förordningens kapitel V. Enligt kapitlets artikel 45 kan överföring ske med stöd av ett beslut om adekvat skyddsnivå. I avsaknad av ett beslut får personuppgifter endast överföras till ett tredjeland efter att den ansvarige har vidtagit lämpliga skyddsåtgärder, vilket följer av artikel 46.

Genom EU-domstolens dom från juli 2020 i det så kallade Schrems II-målet ogiltigförklarades det beslut om adekvat skyddsnivå som tidigare gällde mellan USA och EU. Något nytt beslut har ännu inte fattats.

Klagomålen mot de svenska bolagen har sin grund i Schrems II-domen och det görs gällande att det saknas laglig grund för överföringen av personuppgifter till USA, eftersom det inte finns något beslut om adekvat skyddsnivå och saknas tillräckliga skyddsåtgärder.

I sin bedömning konstaterar IMY att bolagen har använt sig av EU-kommissionens standardavtalsklausuler i den mening som avses i artikel 46. I Schrems II-domen gjorde EU-domstolen en analys av skyddet för personuppgifter i USA, och IMY anser att denna analys kan ligga till grund för bedömningen i det aktuella fallet. Av analysen framgår att Google är föremål för övervakning av amerikanska underrättelsetjänster enligt amerikansk lag och därmed skyldigt att förse amerikanska regeringen med personuppgifter.

Med hänsyn till detta bedömer IMY att användningen av EU-kommissionens standardavtalsklausuler inte i sig är tillräckligt för att uppnå en godtagbar skyddsnivå för de överförda personuppgifterna.

Frågan därefter är om Google har vidtagit andra skyddsåtgärder som gör att personuppgiftsskyddet är tillräckligt. Google har i denna del hänvisat till att det finns tekniska åtgärder, krypteringsteknik och pseudonymisering som begränsar den amerikanska statens åtkomst till personuppgifterna. IMY anser dock att dessa åtgärder inte hindrar underrättelsetjänsternas möjligheter att bereda sig tillgång till uppgifterna. Inte heller de ytterligare skyddsåtgärder som vidtagits av de granskade bolagen bedöms vara tillräckliga.

Bolagen bryter alltså mot artikel 44 i dataskyddsförordningen.

När det gäller valet av ingripande klarar sig Dagens Industri och Coop undan sanktionsavgift. Det framgår nämligen att dessa bland annat har gjort en ”seriös analys och kartläggning av livscykeln av personuppgifter i Google Analytics. De har även aktiverat Googles åtgärd ”anonymisering av IP-adresser”.

CDON och Tele2 ska däremot påföras sanktionsavgifter eftersom de inte vidtagit några ytterligare egna skyddsåtgärder. För Tele2:s del bestäms sanktionsbeloppet till 12 miljoner kronor medan CDON ska betala 300 000 kronor. Samtliga bolag föreläggs även att upphöra med att använda den version av Google Analytics som användes den 14 augusti 2020, med undantag för Dagens Industri som på eget initiativ redan upphört med detta.