Personer GDPR

Google Analytics och GDPR

Välkommen till denna grundläggande genomgång och guide kring Google Analytics och GDPR.

GDPR – Dataskyddsförordningen

GDPR som även heter Dataskyddsförordningen, eller allmänna dataskyddsförordningen är EU:s gemensamma regler kring hantering av personuppgifter och gäller i alla medlemsländer. Förenklat innebär den att företag behöver ha ett berättigat intresse för att få rätt att behandla en personuppgift.

En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i förordningen, till exempel genom samtycke av den registrerade.

Vad är en personuppgift?

En personuppgift är någon slags information som kan knytas till en levande person. Exempelvis namn, adress och personnummer. Även bilder på människor klassas som personuppgifter. Även ljudinspelningar i digital form kan vara personuppgifter även om det inte nämns några namn i inspelningen. Organisationsnummer för enmansföretag kan vara personuppgifter. IP-adresser som samlas in av Google Analytics är personuppgifter.

Vilka personuppgifter samlar Google Analytics in?

Google Analytics samlar in IP-adresser för de som besöker webbplatsen. Google Analytics samlar även in uppgifter om besökarna så som geografisk position, webbläsare, skärmstorlek, information om enheten.

Är Google Analytics förenligt med GDPR?

Ja, själva verktyget i sig är det men det är implementationen som avgör om det är förenligt med GDPR. Om ditt företag inte har koll på vilka personuppgifter som behandlas eller insamlar samtycke från användaren för användandet av Analytics är det inte förenligt med GDPR.

Hur säkerställer jag att Analytics är implementerat i enlighet med GDPR?

Eftersom det skiljer sig från fall till fall är ni välkomna att kontakta Opitmest AB för rådgivning och teknisk implementation av Analytics på ett korrekt sätt.

Borttagning av uppgifter från Google Analytics

I och med GDPR:s införande 2018 så har Google infört funktioner för borttagande av uppgifter. Det går dock inte att ta bort en specifik användares data utan du behöver i så fall ta bort alla användares data de datum som man begär. Det går att styra vilken data/fält som skall tas bort i Google Analytics 4.

Delar du dina data med andra tjänster från Google?

Om du valt att dela data med andra tjänster från Google så som Google signals eller Remarketing-funktioner behöver du samtycke för detta. Om du inte har samtycke så bör du inaktivera delning i ditt Google Analytics-konto.

Hur länge sparas data i Google Analytics?

Det går att ställa in hur länge GA skall spara data och det går även att ställa in om denna tid skall nollställas för en användare vid varje återkommande besök. Minimum i Universal Analytics är 14 månader och det går att välja att aldrig ta bort användardata.

I Google Analytics 4 lagras data kortare tid som standard.

Google Analytics lagrar din data utanför EU

Google Analytics lagrar data på datacenter spridda i världen och inte exklusivt i EU. Det innebär att data förs ut från EU vilket fått extra uppmärksamhet i och med Schrems II-domen 16 juli 2020. Tidigare säkerställdes säkerheten vid dessa dataöverföringar mellan EU och USA med hjälp av Privacy Shield-ramverket. Numera är Privacy Shield inte längre en giltig rättslig ram för överföring av data från EU till USA och rättsläget är väldigt osäkert.

Google är personuppgiftsansvarig

Olika europeiska tillsynsmyndigheter för dataskydd så som svenska Datainspektionen har tidigare ansett att Google är personuppgiftsbiträde för behandling av personuppgifter vid användning av Google Analytics. Efter Schrems II-domen från EU-domstolen har detta ändrats. Google anses numera vara personuppgiftsansvarig för behandling av personuppgifter i Google Analytics. Vi kommer återkomma kring vad detta innebär i en guide.

Råd kring GDPR & Google Analytics

Samla in Samtycke

För att använda Google Analytics i enlighet med GDPR bör samtycke införskaffas. Detta samtycke behöver vara ett aktivt val från användarens sida och endast användning av sidan räknas inte som ett samtycke. Det behöver även finnas möjlighet att neka samtycket vilken medför att Google Analytics inte används för användaren.

Det skall även gå att återkalla ett samtycke.

Anonymisera IP-adresser
Det är även en bra försiktighetsåtgärd att anonymisera IP-adresserna som skickas in till Google Analytics.

Göra Google Analytics förenligt med GDPR

Behöver ditt företag hjälp med den tekniska implementeringen för att säkerställa att användningen av Google Analytics är i enlighet med GDPR? I så fall bör ni kontakta Optimest AB.

Google Analytics utan cookies

Google Analytics utan Cookies

Välkommen att läsa hur du ställer in Google Analytics att inte använda cookies / kakor som lagras på användarens dator. Först och främst kan nämnas att Google Analytics som standard använder kakor och att utan kakor så fungerar Google Analytics på ett helt annorlunda sätt: Om Google Analytics är inställt att använda kakor och det […]

Öppna flera fönster i Screaming Frog på Mac

Här kommer ett smidigt SEO-tips för er som jobbar med SEO i Mac-miljö.Programmet Screaming Frog som är en bra och strukturerad webbspindel för SEO-arbete är begränsad till att ha ett fönster åt gången som standard på Mac. Detta är något som jag personligen inte tycker om i mitt arbetsflöde så jag såg till att göra […]