Google Analytics och Meta - vad gäller (just idag)?

Det har varit en händelserik sommar när det kommer till konsekvenser av GDPR-relaterade domar. I slutet av juni kom ett antal prejudi­cerande beslut från IMY – integritets­skydds­myndig­heten, som har olika stor påverkan på företags möjlighet att arbeta med data­driven marknads­föring. Vår digitala strateg Jonas har satt sig in i det hela, och vi behöver dela upp vad som skett i två delar för att bena ut vad som gäller.

GDPR, Google Analytics och DPF

Bakgrunden

Det första fallet är kanske det mest uppmärksammade och var något som fick många svenska företag att i panik slå i nödbromsen och stänga av Google Analytics precis innan semestrarna. För oss som följer utvecklingen kom det inte som någon stor överraskning: det här är utredningar som IMY har drivit mot sex stycken svenska företag sedan augusti 2020.

Företagen som då kom under granskning var Dagens Industri, Coop, CDON, Tele2, Sinovum Media AB (som driver synonymer.se) och Modern Women Media Sweden AB (som driver familjeliv.se). Utredningen mot de två sista las ner efter att de upphört med data­insamling via Google Analytics. Tele2 och CDON fick sanktions­avgifter på 12 mkr respektive 300 000 kronor vardera då de inte kunde uppvisa till­räckligt skydd för person­uppgifts­hanteringen.

Det intressanta är att Dagens Industri och Coop slapp avgifter men förbjöds att fortsätta använda GA. Detta för att de vidtagit åtgärder som IMY bedömde kunde ha antagits vara tillräckliga, men inte var det. Åtgärderna innefattade bland annat server side- och proxy-lösningar som ”tvättade” den insamlade datan innan den skickades till USA.

Bland annat trunkerade man IP-adresser, en lösning Panang har rekommenderat i flera fall. Då man dock ändå skickade information som clientID, userID och gclids så gjorde IMY bedömningen att det sammanlagt ändå utgjorde personuppgifter som inte kunde värnas när de väl kom under amerikansk lagstiftning.

Det handlar om artikel 5

De här fallen handlar om att data som samlats in i Sverige (inom EU) via Google Analytics har förts ut till tredje land (USA) som saknar ett till­freds­ställande skydd för person­uppgifter. Här är Schrems-domarna mycket rele­vanta eftersom den första ogiltig­förklarade The Safe Harbour Agreement som fram till 2015 gällde mellan EU, USA och Schweiz. Den andra ogiltig­förklarade ersättnings­avtalet Privacy Shield 2020.

Sedan 2020 har det alltså egentligen varit helt otillåtet att inom GDPR skicka person­uppgifter till amerikanska företag. Det har dock gått att lösa juridiskt med så kallade standard­avtals­klausuler, vilket Google och de flesta andra företag var snabba med att plocka fram. När dessa har prövats i rätt så har de dock ofta funnits otill­räckliga, bland annat för att ett avtal mellan två företag inte tar bort möjligheten för amerikanska myndig­heter att begära ut data från företag där utan rättslig prövning.

Det som nu har förändrats är att ett nytt avtal mellan EU och USA, kallat Data Privacy Framework (DPF), finns på plats sedan 10 juli. Amerikanska företag som ansluter sig till detta förbinder sig då att i akt och mening följa GDPR, så om era leverantörer eller partners finns med på den här listan så behöver ni i princip därför inte göra mer än en vanlig DPIA. Kortfattat innebär DPF att:

• amerikanska underrättelsemyndigheters tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt
• en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till
• de nya säkerhetsåtgärderna när det gäller myndigheternas tillgång till personuppgifter ska komplettera – de skyldigheter som amerikanska företag som importerar uppgifter redan måste uppfylla.

Luddigt? Det anser åtminstone Max Schrems organisation NOYB (None of your business), så sista ordet är nog inte sagt nu heller. Tills vidare är dock GA4 ett godkänt analys­verktyg under Artikel 5. Vi rekommenderar dock fortfarande tekniska tilläggs­lösningar (trunkering och data­kontroll) för att säker­ställa GDPR-efterlevnad.

Kom ihåg att GDPR syftar till minimering av insamling, behandling och lagring av person­uppgifter. Om ni inte har berättigat intresse eller samtycke för den infor­mation som finns i GA4 är ni ändå på tunn is. Använder ni Googles ekosystem för annonsering kan det absolut vara värt att även av affärs­mässiga skäl överväga till exempel Matomo för att förenkla regel­efter­levnaden.

Vi har skrivit om det här tidigare i en mer handgriplig genom­gång, läs gärna den, och har länge rekommen­derat proxy/server side-lösningar och trunkering av IP-adresser (vilket inte längre behövs på samma sätt iom GA4) för att vara på den säkra sidan. Det ska dock under­strykas att vi är marknads­förare – inte jurister. Och vi ger inte juridiska råd. Däremot kan vi se att organisa­tioner som arbetat medvetet med detta åtmin­stone hittills har und­kommit sanktions­avgifter från IMY.

Meta, Bonnier och profilering

Ett annat IMY-fall som gick lite mer under radarn var Bonnier-utredningen som mynnade ut i att koncernen tvingades betala 13 mkr i sanktionsavgifter. Här handlade det om profilering, ett begrepp med bred betydelse inom marknadsföringsvärlden men lite mer snäv juridisk betydelse.

Här hade Bonnier poolat ihop kunddata från flera koncern­bolag och samman­ställt profiler över kunder och besökare för att kunna skjuta riktad marknads­föring. Uppgifter som kön, ålder, bilägande och post­nummer lades in i data­basen och komplet­terades med uppgifter från Bisnode om köpkraft, livsfas och boende­form. Det här är givetvis inte okänsliga upp­gifter när man ser dem samman­vägda, och det handlar om vad som kallas profi­lering i juridisk mening.

IMY konstaterade att en komplet­terad beteende­­profil (inklusive kund­data eller data från tredje part) kräver samtycke. Men även en enklare beteende­profil kräver samtycke om profi­leringen sker genom obser­vation (till exempel cookies). Det som gjorde detta extra känsligt var att Bonnier tog kunddata från ett koncern­bolag och kunde använda den för till exempel DR-utskick från andra bolag.

Huvudregeln är alltså att alla annonsering och data­­behand­ling som syftar till profi­lering kräver samtycke. Det här har också stöd i såväl EU-domar som norska rikt­linjer, och har fått Meta att börja agera. Här tycks utveck­lingen peka mot att Meta inte kommer att visa profil­baserade annonser om man inte har samtyckt till detta, och pixeln lär minska i betydelse och effekt som resultat.

Slutsats och rekommendationer

Våra rekommendationer är att fortsätta följa utvecklingen och säkerställa att ni har koll på gällande regelverk. Vad gäller Google och andra analysverktyg: har ni kartlagt er användning av verktyget, DPIA?

• Har ni migrerat till GA4 och slagit av UA?
• Har ni ett DPA?
• Vilka uppgifter har ni behov av att behandla?
• Vilka tekniska och organisatoriska åtgärder har ni vidtagit själva (proxy-lösning, server side-lösning med mera)?

Vad gäller profilering och Meta så bör ni verkligen säkerställa att ni inte samlar in mer data än nödvändigt. Bonnier gjorde ju bedömningen att deras berättigade intresse räckte istället för samtycke – det gör det inte. Så se till att samla in samtycke! (Och då räcker det inte med en förikryssad ruta i ett långt formulär.) Se också till att er pixel är rätt konfigurerad så att ni inte av misstag skickar känsliga uppgifter till Meta, något som tre nätapotek nu utreds för.

Överväg att byta analysverktyg om ni inte använder Google Ads. Det finns bra verktyg som gör det enklare att följa GDPR. Vi rekommenderar Matomo, som vi kan hjälpa er att installera och implementera.

Tänk holistiskt kring er marknadsföring: datadriven marknadsföring fungerar till stor del fortfarande, men den kreativa och bredare kommunikationen är definitivt på väg tillbaka på bred front. Behärskar ni den?

Att navigera i det digitala land­skapet är inte alltid enkelt. Vi hjälper gärna till, både som boll­plank och utförare. Hör av dig med dina funderingar!