23948sdkhjf

Myndighet: Cdon bröt mot dataskyddet – får  böta

Cdons användning av Google Analytics bröt mot dataskyddsförordningen, i och med att personuppgifter spreds till USA, som inte uppfyller EU:s krav på skyddsnivå. Det konstaterar Integritetsskyddsmyndigheten, IMY, i ett beslut i dag som kan bli vägledande för andra bolag.
Cdon bröt mot dataskyddsförordningen genom att använda Google Analytics, och får nu böta. Foto: Pressbild
Av Joachim Björk

IMY har nu avslutat sin granskning av hur fyra bolag använder Google Analytics för besöksstatistik. Det gäller Coop, Cdon, Dagens Industri och Tele2.

IMY utfärdar sanktionsavgift mot två av bolagen. Tele2 får betala 12 miljoner kronor och Cdon 300 000 kronor eftersom som de inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har på eget initiativ nyligen upphört att använda statistikverktyget. IMY förelägger övriga tre bolag att sluta använda verktyget.

Granskningarna avser en version av Google Analytics från den 14 augusti 2020.

Granskningarna bygger på klagomål som kommit från intresseorganisationen None of Your Business (NOYB) i ljuset av EU-domstolens så kallade Schrems II-dom. Klagomålen gjorde gällande att företagen i strid med lagen för över personuppgifter till USA.

Personuppgifter får enligt dataskyddsförordningen, GDPR, överföras till tredjeland, alltså länder utanför EU/EES, om EU-kommissionen har fattat beslut att landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar den som finns inom EU/EES. EU-domstolen slog dock genom Schrems II-domen fast att USA vid tiden för domen inte kunde anses ha en sådan adekvat skyddsnivå.

IMY anser i sina granskningar att de uppgifter som överförs till USA via Googles statistikverktyg är personuppgifter eftersom uppgifterna kan sammankopplas med övriga unika uppgifter som överförs. Myndigheten anser även att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för att säkerställa en skyddsnivå som i huvudsak motsvarar den som garanteras inom EU/EES.

– Genom att IMY har beslutat i dessa ärenden samtidigt, tydliggörs vilka krav som ställs på tekniska skyddsåtgärder och övriga åtgärder vid överföring av personuppgifter till tredjeland, i detta fall USA, säger juristen Sandra Arvidsson som lett granskningarna av bolagen.

– De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, avslutar Sandra Arvidsson.

Kommentera en artikel
Företagens egna nyheter
Se alla medlemsnyheter
Mest läst
Senaste nytt
Se senaste nytt
Utvalda artiklar
Utvalda nyheter från förstasidan
Storvarsel på Apotea – 110 tjänster berörs
HUI: Lågprishandeln mer lönsam än övriga detaljhandeln
Dansk koncern och okänd svensk aktör tar över Rizzo
Klädbolag stärker försäljning och vinst – sätter nya finansiella mål
Konkurs för anrik klädbutik: ”Inget lätt beslut att ta”
Andra Nordiska Medier
Fri Köpenskap
Habit
Transportnet

Nyhetsbrev

Sänd till en kollega

0.142