Är Google Analytics GDPR compliant?
Om man kikar på GDPR så finns det 8 punkter vi behöver förhålla oss till rent generellt:
1. Rätten att bli informerad
Rätten att bli informerad handlar om din skyldighet att tillhandahålla "rättvis bearbetningsinformation", vanligen genom ett privacy meddelande. Det betonar behovet av insyn i hur du använder personuppgifter.
2. Rätten till åtkomst
Individer har rätt att få tillgång till den data och personuppgifter som finns lagrade om dem.
3. Rätten till rättelse
GDPR ger enskilda individer rätt att få personuppgifter korrigerade. Personuppgifter skall därför kunna ändras om de är felaktiga eller ofullständiga.
4. Rätten att bli bortglömd
Denna rättighet handlar om att en individ kan begära att personuppgifter raderas eller tas bort där det inte finns någon tvingande orsak till dess fortsatta behandling. Undantag finn tex för myndigheter.
5. Rätten att begränsa bearbetningen
Individer har rätt att "blockera" eller begränsa behandling av deras lagrade personuppgifter. Denna kommer att bli väldigt svårt att bedöma är min gissning.
6. Rätten till dataöverföring
Rätten till dataöverföring tillåter individer att begära ut och återanvända sina personuppgifter för sina egna ändamål som tex i en annan tjänst.
7. Rätten att invända
Individer har rätt att invända mot: bearbetning baserat på legitima intressen eller utförandet av en uppgift i allmänhetens intresse / utövande av offentlig myndighet (inklusive profilering).
8. Rättigheter i relation till automatiserad beslutsfattande och profilering.
GDPR ger skydd för enskilda personer mot risken att ett potentiellt skadligt beslut fattas utan mänsklig intervention. Identifiera om någon av dina bearbetningsoperationer utgör automatiserad beslutsfattande och överväga om du behöver uppdatera dina procedurer för att hantera kraven i GDPR.
Huvudutmaningen med webbanalys och GDPR
I teorin finns inga problem så länge du inte lagrar personliga data. Då faller i princip allt punkter ovan bort.
Så vad är då problemet med Google Analytics?
Du skickar data om alla besökare till Google
En del av denna data är den IP-adress som användaren kommer ifrån. Just IP adresser kan ibland vara personuppgifter och skall därför behandlas som en. Nu har Google släppt funktioner som möjliggör maskning av IP adresser i gränssnittet men i praktiken är uppgiften redan röjd så snart ett anrop görs.
IP adresser hamnar i webbservrar, databaser och brandväggar hos Google behöver. Det betyder att även om du inte ser adressen i gränssnittet så finns den i loggar etc.
All data lagras dessutom utanför EU så det blir ytterligare problem med att följa lagen.
Du kan inte garantera huruvida s.k profiling sker
Att Google sedan länga erbjudit "gratis" tjänster som Gmail, Google Analytics etc kan man bara göra eftersom den data man samlar in om användarna används till att i huvudsak sälja annonsplatser där man tack vare den kunskap man samlat in kan presentera annonser med personligt budskap.
Du kan inte radera data selektivt
Även om man skulle komma runt problemen med IP adresser på något sätt, så kan man råka lagra personlig data ändå. Det är väldigt vanligt.
Vad gör man om man lagrat personlig data i Google Analytics?
Man kan antingen ta bort kontot eller via Googles APIér ta bort de sessioner som kan ha haft access.
Du kan aldrig redogöra för vem som kan ha haft access till datat som läckt.
En av datainspektionens rekommendationer vid en incident är att man skall redogöra för vilka personer som kan ha fått tillgång till datat.
Det kommer ingen på Google att kunna svara på kort ock gott. Det innebär i praktiken att kunna redogöra för alla personer med administrativ access till både applikation, miljöer och fysisk utrustning.