SamLogic Software Blogg

IMY har granskat hur fyra bolag överför personuppgifter till USA via Google Analytics som är ett verktyg för att mäta och analysera trafiken på webbplatser. Bolagen som granskats är CDON, Coop, Dagens Industri och Tele2.

Granskningarna bygger på klagomål som kommit från intresseorganisationen None of Your Business (NOYB) i ljuset av EU-domstolens så kallade Schrems II-dom. Klagomålen gör gällande att företagen i strid med lagen för över personuppgifter till USA.

Personuppgifter får enligt dataskyddsförordningen, GDPR, överföras till tredjeland, alltså länder utanför EU/EES, om EU-kommissionen har fattat beslut att landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar den som finns inom EU/EES. EU-domstolen slog dock genom Schrems II-domen fast att USA vid tiden för domen inte kunde anses ha en sådan adekvat skyddsnivå.

IMY anser i sina granskningar att de uppgifter som överförs till USA via Googles statistikverktyg är personuppgifter eftersom uppgifterna kan sammankopplas med övriga unika uppgifter som överförs. Myndigheten anser även att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för att säkerställa en skyddsnivå som i huvudsak motsvarar den som garanteras inom EU/EES.

– Genom att IMY har beslutat i dessa ärenden samtidigt, tydliggörs vilka krav som ställs på tekniska skyddsåtgärder och övriga åtgärder vid överföring av personuppgifter till tredjeland, i detta fall USA, säger juristen Sandra Arvidsson som lett granskningarna av bolagen.

Om det inte finns något beslut om adekvat skyddsnivå av EU-kommissionen kan uppgifter få överföras med stöd av så kallade standardavtalsklausuler som EU-kommissionen beslutat om. Enligt EU-domstolen kan dock sådana standardavtalsklausuler behöva kompletteras med ytterligare skyddsåtgärder om det är nödvändigt för att det skydd som klausulerna är tänkta att ge ska kunna upprätthållas i praktiken.

Alla fyra bolag har grundat sina beslut om överföring av personuppgifter via Google Analytics på standardavtalsklausuler. Av IMY:s utredningar framgår att inga av bolagens ytterligare tekniska skyddsåtgärder är tillräckliga. IMY utfärdar en administrativ sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON som inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har på eget initiativ nyligen upphört att använda statistikverktyget. IMY förelägger övriga tre bolag att sluta använda verktyget.

– De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, säger Sandra Arvidsson.

Källa: IMY

IMY har granskat hur Bonnier News samlar in och hanterar personuppgifter med syftet att använda dessa för marknadsföring. Bolaget samlar in uppgifter från flera olika källor som sedan används för att riktad annonsering på webben, marknadsföring som skickas via fysisk post och telefonförsäljning.

Det handlar till exempel om uppgifter om köp som gjorts i olika bolag i koncernen och surfbeteenden, alltså hur internetanvändare surfat på bolagens webbplatser. I vissa fall samkörs dessa uppgifter även med andra personuppgifter som köps in utifrån som exempelvis uppgifter om kundens kön, hushållets bilägande och postnummer, samt statistiska uppgifter baserade på den enskildes bostadsområde såsom livsfas, köpkraft och boendeform.

Bonnier har angett att de stödjer sig på en intresseavvägning för denna hantering av personuppgifter, det vill säga att bolaget bedömt att dess intressen väger tyngre än den registrerades och att behandlingen är nödvändig för aktuell marknadsföring.

– Kunderna, de registrerade, kan inte förvänta sig att deras beteendedata samlas in för marknadsföringssyfte bara för att de besöker en webbsida. De kan inte heller förvänta sig att deras beteendedata kombineras med uppgifter från en annan köpsituation eller inhämtade uppgifter från andra register i syfte att de ska bli kontaktade för telefonförsäljning eller direktmarknadsföring. Sådan omfattande profilering kräver enligt IMY:s bedömning samtycke. Intresseavvägning går inte att använda som rättslig grund för sådan personuppgiftsbehandling säger Ulrika Bergström som lett IMY:s granskning.

Däremot kan Bonnier använda intresseavvägning som rättslig grund när bolaget samkör olika personuppgifter som inte innefattar surfhistorik och använder dessa uppgifter för marknadsföringsutskick via post eller telefonförsäljning. Detta då koncernen har vidtagit olika åtgärder för att begränsa integritetsintrånget.

IMY utfärdar en administrativ sanktionsavgift på 13 miljoner kronor mot Bonnier för de konstaterade bristerna. I sin bedömning av sanktionsavgiftens storlek har IMY bland annat vägt in att bolaget vidtagit omfattande åtgärder för att begränsa intrånget i de registrerades personliga integritet.

Eftersom Bonnier har användare i många länder har detta beslut fattats i samarbete med övriga dataskyddsmyndigheter i EU.

Källa: IMY

IMY har granskat hur Spotify hanterar rätten för enskilda att få tillgång till sina personuppgifter. IMY anser att Spotify lämnar ut de personuppgifter bolaget behandlar när enskilda begär det men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används av bolaget.

– Informationen som bolaget lämnar om hur och för vilka syften enskildas personuppgifter hanteras borde vara mer specifik. Det ska vara lätt för den som begär tillgång till sina uppgifter att förstå hur bolaget använder dessa uppgifter. Dessutom kan personuppgifter som är svåra att förstå, exempelvis de av teknisk karaktär, behöva förklaras inte bara på engelska utan på den enskildes eget språk. I dessa delar har vi sett vissa brister, säger Karin Ekström som är en av de jurister som lett granskningen.

Kunder som har vänt sig till Spotify för att begära tillgång till sina personuppgifter har kunnat välja vilka personuppgifter de vill ha tillgång till genom att Spotify har delat upp kundernas personuppgifter i olika lager. I ett lager finns de uppgifter som Spotify bedömt vara av störst intresse för de registrerade, exempelvis kundens kontakt- och betaluppgifter, vilka artister kunden följer och lyssningshistorik för en viss tid. Vill kunden ha mer detaljerade uppgifter, exempelvis alla tekniska loggfiler som rör kunden, har det också gått att begära ut dessa i ett annat lager.

– Det finns inte något hinder mot att dela upp kopian på personuppgifter i olika lager så länge rätten till tillgång tillgodoses. Det kan i vissa situationer tvärtom underlätta för den registrerade att ta till sig informationen om den presenteras uppdelat, i vart fall när det är fråga om en omfattande mängd information. Det är viktigt att den enskilde förstår vilka uppgifter som finns i de olika lagren och hur de kan begäras. Här anser vi att Spotify har gjort tillräckligt, säger Karin Ekström.

Syftet med rätten till tillgång är att ge enskilda möjlighet att kontrollera att hanteringen av deras personuppgifter är laglig. Att den enskilda får tillräcklig information är ofta en förutsättning för att utöva andra rättigheter, exempelvis rätten att få felaktiga uppgifter rättade eller borttagna. Eftersom den information som Spotify lämnat har varit otydlig har det varit svårt för enskilda att förstå hur deras personuppgifter behandlas och att kontrollera om hanteringen av deras personuppgifter är laglig.

Spotify har vidtagit flera åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång och bristerna som upptäckts bedöms sammantaget vara av låg allvarlighetsgrad. Mot bakgrund av det och bland annat antalet registrerade och Spotifys omsättning utfärdar IMY en administrativ sanktionsavgift på 58 miljoner kronor mot Spotify för att den information bolaget lämnat till enskilda inte varit tillräckligt tydlig.

Källa: IMY