Välkommen till denna grundläggande genomgång och guide kring Google Analytics och GDPR.
GDPR som även heter Dataskyddsförordningen, eller allmänna dataskyddsförordningen är EU:s gemensamma regler kring hantering av personuppgifter och gäller i alla medlemsländer. Förenklat innebär den att företag behöver ha ett berättigat intresse för att få rätt att behandla en personuppgift.
En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i förordningen, till exempel genom samtycke av den registrerade.
En personuppgift är någon slags information som kan knytas till en levande person. Exempelvis namn, adress och personnummer. Även bilder på människor klassas som personuppgifter. Även ljudinspelningar i digital form kan vara personuppgifter även om det inte nämns några namn i inspelningen. Organisationsnummer för enmansföretag kan vara personuppgifter. IP-adresser som samlas in av Google Analytics är personuppgifter.
Google Analytics samlar in IP-adresser för de som besöker webbplatsen. Google Analytics samlar även in uppgifter om besökarna så som geografisk position, webbläsare, skärmstorlek, information om enheten.
Ja, själva verktyget i sig är det men det är implementationen som avgör om det är förenligt med GDPR. Om ditt företag inte har koll på vilka personuppgifter som behandlas eller insamlar samtycke från användaren för användandet av Analytics är det inte förenligt med GDPR.
Eftersom det skiljer sig från fall till fall är ni välkomna att kontakta Opitmest AB för rådgivning och teknisk implementation av Analytics på ett korrekt sätt.
I och med GDPR:s införande 2018 så har Google infört funktioner för borttagande av uppgifter. Det går dock inte att ta bort en specifik användares data utan du behöver i så fall ta bort alla användares data de datum som man begär. Det går att styra vilken data/fält som skall tas bort i Google Analytics 4.
Om du valt att dela data med andra tjänster från Google så som Google signals eller Remarketing-funktioner behöver du samtycke för detta. Om du inte har samtycke så bör du inaktivera delning i ditt Google Analytics-konto.
Det går att ställa in hur länge GA skall spara data och det går även att ställa in om denna tid skall nollställas för en användare vid varje återkommande besök. Minimum i Universal Analytics är 14 månader och det går att välja att aldrig ta bort användardata.
I Google Analytics 4 lagras data kortare tid som standard.
Google Analytics lagrar data på datacenter spridda i världen och inte exklusivt i EU. Det innebär att data förs ut från EU vilket fått extra uppmärksamhet i och med Schrems II-domen 16 juli 2020. Tidigare säkerställdes säkerheten vid dessa dataöverföringar mellan EU och USA med hjälp av Privacy Shield-ramverket. Numera är Privacy Shield inte längre en giltig rättslig ram för överföring av data från EU till USA och rättsläget är väldigt osäkert.
Olika europeiska tillsynsmyndigheter för dataskydd så som svenska Datainspektionen har tidigare ansett att Google är personuppgiftsbiträde för behandling av personuppgifter vid användning av Google Analytics. Efter Schrems II-domen från EU-domstolen har detta ändrats. Google anses numera vara personuppgiftsansvarig för behandling av personuppgifter i Google Analytics. Vi kommer återkomma kring vad detta innebär i en guide.
Samla in Samtycke
För att använda Google Analytics i enlighet med GDPR bör samtycke införskaffas. Detta samtycke behöver vara ett aktivt val från användarens sida och endast användning av sidan räknas inte som ett samtycke. Det behöver även finnas möjlighet att neka samtycket vilken medför att Google Analytics inte används för användaren.
Det skall även gå att återkalla ett samtycke.
Anonymisera IP-adresser
Det är även en bra försiktighetsåtgärd att anonymisera IP-adresserna som skickas in till Google Analytics.
Behöver ditt företag hjälp med den tekniska implementeringen för att säkerställa att användningen av Google Analytics är i enlighet med GDPR? I så fall bör ni kontakta Optimest AB.
Google har i slutet av 2023 introducerat en ny version 2 av Google Consent Mode. Skälet till detta är främst ökat tryck från europeisk lagstiftning kring samtycken för spårning och kakor som finns i Digital Markets Act. Genom Consent Mode skickas data med till Google om vilka samtycken som användaren gar givit i en cookie […]
Behöver du hjälp med uppsättning och konfiguration av Google Tag Manager server-side? GTM server-side är GTM som tar emot data från en vanlig webbehållare för GTM och därifrån skickar data till exempel GA4 eller Facebook via CAPI. Fördelar med att använda GTM via server är bland annat: Kontakta Erik Stenman Andersson för hjälp med uppsättning […]