2023-07-04

Tele2 åker på 12 miljoner i GDPR-böter

IMY utfärdar en administrativ sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON som inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har på eget initiativ nyligen upphört att använda statistikverktyget. IMY förelägger övriga tre bolag att sluta använda verktyget.

Integritetsskyddsmyndigheten (IMY) har granskat hur Tele2, CDON, Coop och Dagens Industri använder Google Analytics för besöksstatistik. IMY utfärdar sanktionsavgift mot två av bolagen. Ett av bolagen har på eget initiativ nyligen slutat använda statistikverktyget medan IMY förelägger övriga tre att också sluta använda det.

IMY har granskat hur fyra bolag överför personuppgifter till USA via Google Analytics som är ett verktyg för att mäta och analysera trafiken på webbplatser. Bolagen som granskats är CDON, Coop, Dagens Industri och Tele2.

Granskningarna bygger på klagomål som kommit från intresseorganisationen None of Your Business (NOYB) i ljuset av EU-domstolens så kallade Schrems II-dom. Klagomålen gör gällande att företagen i strid med lagen för över personuppgifter till USA.

Personuppgifter får enligt dataskyddsförordningen, GDPR, överföras till tredjeland, alltså länder utanför EU/EES, om EU-kommissionen har fattat beslut att landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar den som finns inom EU/EES. EU-domstolen slog dock genom Schrems II-domen fast att USA vid tiden för domen inte kunde anses ha en sådan adekvat skyddsnivå.

IMY anser i sina granskningar att de uppgifter som överförs till USA via Googles statistikverktyg är personuppgifter eftersom uppgifterna kan sammankopplas med övriga unika uppgifter som överförs. Myndigheten anser även att de tekniska skyddsåtgärder som bolagen har vidtagit inte är tillräckliga för att säkerställa en skyddsnivå som i huvudsak motsvarar den som garanteras inom EU/EES.

– Genom att IMY har beslutat i dessa ärenden samtidigt, tydliggörs vilka krav som ställs på tekniska skyddsåtgärder och övriga åtgärder vid överföring av personuppgifter till tredjeland, i detta fall USA, säger juristen Sandra Arvidsson som lett granskningarna av bolagen.

Om det inte finns något beslut om adekvat skyddsnivå av EU-kommissionen kan uppgifter få överföras med stöd av så kallade standardavtalsklausuler som EU-kommissionen beslutat om. Enligt EU-domstolen kan dock sådana standardavtalsklausuler behöva kompletteras med ytterligare skyddsåtgärder om det är nödvändigt för att det skydd som klausulerna är tänkta att ge ska kunna upprätthållas i praktiken.  

Alla fyra bolag har grundat sina beslut om överföring av personuppgifter via Google Analytics på standardavtalsklausuler. Av IMY:s utredningar framgår att inga av bolagens ytterligare tekniska skyddsåtgärder är tillräckliga. IMY utfärdar en administrativ sanktionsavgift på 12 miljoner kronor mot Tele2 och 300 000 kronor mot CDON som inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Tele2 har på eget initiativ nyligen upphört att använda statistikverktyget. IMY förelägger övriga tre bolag att sluta använda verktyget.

– De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics, säger Sandra Arvidsson.


Taggar


Nyheter från startsidan
Gå till "Samhälle"  
Leverantörer
Ändra marknad
Sverige Danmark
Till toppen av sidan
Stäng

Prenumerera på vårt nyhetsbrev!


Med vårt nyhetsbrev kan du få de senaste nyheterna från säkerhetsmarknaden. Nyhetsbrevet är veckovis och du kan själv avsluta din prenumeration när du själv önskar.