
Google Analytics och Meta - vad gäller (just idag)?
Det har varit en händelserik sommar när det kommer till konsekvenser av GDPR-relaterade domar. I slutet av juni kom ett antal prejudicerande beslut från IMY – integritetsskyddsmyndigheten, som har olika stor påverkan på företags möjlighet att arbeta med datadriven marknadsföring. Vår digitala strateg Jonas har satt sig in i det hela, och vi behöver dela upp vad som skett i två delar för att bena ut vad som gäller.
GDPR, Google Analytics och DPF
Bakgrunden
Det första fallet är kanske det mest uppmärksammade och var något som fick många svenska företag att i panik slå i nödbromsen och stänga av Google Analytics precis innan semestrarna. För oss som följer utvecklingen kom det inte som någon stor överraskning: det här är utredningar som IMY har drivit mot sex stycken svenska företag sedan augusti 2020.
Företagen som då kom under granskning var Dagens Industri, Coop, CDON, Tele2, Sinovum Media AB (som driver synonymer.se) och Modern Women Media Sweden AB (som driver familjeliv.se). Utredningen mot de två sista las ner efter att de upphört med datainsamling via Google Analytics. Tele2 och CDON fick sanktionsavgifter på 12 mkr respektive 300 000 kronor vardera då de inte kunde uppvisa tillräckligt skydd för personuppgiftshanteringen.
Det intressanta är att Dagens Industri och Coop slapp avgifter men förbjöds att fortsätta använda GA. Detta för att de vidtagit åtgärder som IMY bedömde kunde ha antagits vara tillräckliga, men inte var det. Åtgärderna innefattade bland annat server side- och proxy-lösningar som ”tvättade” den insamlade datan innan den skickades till USA.
Bland annat trunkerade man IP-adresser, en lösning Panang har rekommenderat i flera fall. Då man dock ändå skickade information som clientID, userID och gclids så gjorde IMY bedömningen att det sammanlagt ändå utgjorde personuppgifter som inte kunde värnas när de väl kom under amerikansk lagstiftning.
Det handlar om artikel 5
De här fallen handlar om att data som samlats in i Sverige (inom EU) via Google Analytics har förts ut till tredje land (USA) som saknar ett tillfredsställande skydd för personuppgifter. Här är Schrems-domarna mycket relevanta eftersom den första ogiltigförklarade The Safe Harbour Agreement som fram till 2015 gällde mellan EU, USA och Schweiz. Den andra ogiltigförklarade ersättningsavtalet Privacy Shield 2020.
Sedan 2020 har det alltså egentligen varit helt otillåtet att inom GDPR skicka personuppgifter till amerikanska företag. Det har dock gått att lösa juridiskt med så kallade standardavtalsklausuler, vilket Google och de flesta andra företag var snabba med att plocka fram. När dessa har prövats i rätt så har de dock ofta funnits otillräckliga, bland annat för att ett avtal mellan två företag inte tar bort möjligheten för amerikanska myndigheter att begära ut data från företag där utan rättslig prövning.
Det som nu har förändrats är att ett nytt avtal mellan EU och USA, kallat Data Privacy Framework (DPF), finns på plats sedan 10 juli. Amerikanska företag som ansluter sig till detta förbinder sig då att i akt och mening följa GDPR, så om era leverantörer eller partners finns med på den här listan så behöver ni i princip därför inte göra mer än en vanlig DPIA. Kortfattat innebär DPF att:
- amerikanska underrättelsemyndigheters tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt
- en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till
- de nya säkerhetsåtgärderna när det gäller myndigheternas tillgång till personuppgifter ska komplettera – de skyldigheter som amerikanska företag som importerar uppgifter redan måste uppfylla.
Luddigt? Det anser åtminstone Max Schrems organisation NOYB (None of your business), så sista ordet är nog inte sagt nu heller. Tills vidare är dock GA4 ett godkänt analysverktyg under Artikel 5. Vi rekommenderar dock fortfarande tekniska tilläggslösningar (trunkering och datakontroll) för att säkerställa GDPR-efterlevnad.
Kom ihåg att GDPR syftar till minimering av insamling, behandling och lagring av personuppgifter. Om ni inte har berättigat intresse eller samtycke för den information som finns i GA4 är ni ändå på tunn is. Använder ni Googles ekosystem för annonsering kan det absolut vara värt att även av affärsmässiga skäl överväga till exempel Matomo för att förenkla regelefterlevnaden.
Vi har skrivit om det här tidigare i en mer handgriplig genomgång, läs gärna den, och har länge rekommenderat proxy/server side-lösningar och trunkering av IP-adresser (vilket inte längre behövs på samma sätt iom GA4) för att vara på den säkra sidan. Det ska dock understrykas att vi är marknadsförare – inte jurister. Och vi ger inte juridiska råd. Däremot kan vi se att organisationer som arbetat medvetet med detta åtminstone hittills har undkommit sanktionsavgifter från IMY.
Meta, Bonnier och profilering
Ett annat IMY-fall som gick lite mer under radarn var Bonnier-utredningen som mynnade ut i att koncernen tvingades betala 13 mkr i sanktionsavgifter. Här handlade det om profilering, ett begrepp med bred betydelse inom marknadsföringsvärlden men lite mer snäv juridisk betydelse.
Här hade Bonnier poolat ihop kunddata från flera koncernbolag och sammanställt profiler över kunder och besökare för att kunna skjuta riktad marknadsföring. Uppgifter som kön, ålder, bilägande och postnummer lades in i databasen och kompletterades med uppgifter från Bisnode om köpkraft, livsfas och boendeform. Det här är givetvis inte okänsliga uppgifter när man ser dem sammanvägda, och det handlar om vad som kallas profilering i juridisk mening.
IMY konstaterade att en kompletterad beteendeprofil (inklusive kunddata eller data från tredje part) kräver samtycke. Men även en enklare beteendeprofil kräver samtycke om profileringen sker genom observation (till exempel cookies). Det som gjorde detta extra känsligt var att Bonnier tog kunddata från ett koncernbolag och kunde använda den för till exempel DR-utskick från andra bolag.
Huvudregeln är alltså att alla annonsering och databehandling som syftar till profilering kräver samtycke. Det här har också stöd i såväl EU-domar som norska riktlinjer, och har fått Meta att börja agera. Här tycks utvecklingen peka mot att Meta inte kommer att visa profilbaserade annonser om man inte har samtyckt till detta, och pixeln lär minska i betydelse och effekt som resultat.
Slutsats och rekommendationer
Våra rekommendationer är att fortsätta följa utvecklingen och säkerställa att ni har koll på gällande regelverk. Vad gäller Google och andra analysverktyg: har ni kartlagt er användning av verktyget, DPIA?
- Har ni migrerat till GA4 och slagit av UA?
- Har ni ett DPA?
- Vilka uppgifter har ni behov av att behandla?
- Vilka tekniska och organisatoriska åtgärder har ni vidtagit själva (proxy-lösning, server side-lösning med mera)?
Vad gäller profilering och Meta så bör ni verkligen säkerställa att ni inte samlar in mer data än nödvändigt. Bonnier gjorde ju bedömningen att deras berättigade intresse räckte istället för samtycke – det gör det inte. Så se till att samla in samtycke! (Och då räcker det inte med en förikryssad ruta i ett långt formulär.) Se också till att er pixel är rätt konfigurerad så att ni inte av misstag skickar känsliga uppgifter till Meta, något som tre nätapotek nu utreds för.
Överväg att byta analysverktyg om ni inte använder Google Ads. Det finns bra verktyg som gör det enklare att följa GDPR. Vi rekommenderar Matomo, som vi kan hjälpa er att installera och implementera.
Tänk holistiskt kring er marknadsföring: datadriven marknadsföring fungerar till stor del fortfarande, men den kreativa och bredare kommunikationen är definitivt på väg tillbaka på bred front. Behärskar ni den?
Att navigera i det digitala landskapet är inte alltid enkelt. Vi hjälper gärna till, både som bollplank och utförare. Hör av dig med dina funderingar!