I ett pressmeddelande från Integritetsskyddsmyndigheten uppger de att de har granskat hur fyra bolag överför personuppgifter till USA via Google Analytics, ett verktyg för att mäta och analysera trafiken på webbplatser. Bolagen som granskats är Cdon, Coop, Dagens Industri och Tele2.
Granskningen började efter ett klagomål inkommit från intresseorganisationen None of Your Business i ljuset av EU-domstolens så kallade Schrems II-dom. Klagomålen gör gällande att företagen i strid med lagen för över personuppgifter till USA.
IMY anser i sina granskningar att de uppgifter som överförs till USA via Googles statistikverktyg är personuppgifter eftersom uppgifterna kan sammankopplas med övriga unika uppgifter som överförs. IMY anser även att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för den som garanteras inom EU/EES.
– Genom att IMY har beslutat i dessa ärenden samtidigt, tydliggörs vilka krav som ställs på tekniska skyddsåtgärder och övriga åtgärder vid överföring av personuppgifter till tredjeland, i detta fall USA, säger juristen Sandra Arvidsson som lett granskningarna av bolagen.
IMY utfärdar nu en sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON som inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har på eget initiativ nyligen upphört att använda statistikverktyget. IMY förelägger övriga tre bolag att sluta använda verktyget.
Personuppgifter får enligt dataskyddsförordningen, gdpr, överföras till tredjeland, alltså länder utanför EU/EES, om landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar den som finns inom EU/EES. EU-domstolen slog dock genom Schrems II-domen fast att USA vid tiden för domen inte kunde anses ha en sådan adekvat skyddsnivå.
Av: Petter Ahrnstedt, Macworldredaktör
Redaktör