Är det OK att använda Google Analytics på en webbplats?
Fråga:
Verktyget Google Analytics används för att ta fram besöksstatistik på webbplatser. Bland annat använder Datainspektionen verktyget på sin webbplats. Innebär det att personuppgifter behandlas när man besöker www.datainspektionen.se och är behandlingen i så fall är tillåten enligt bestämmelserna i personuppgiftslagen?
Svar:
Ja, det innebär att personuppgifter behandlas. Utifrån det sätt som vi har utformat användningen av analysverktyget är det enligt Datainspektionens bedömning fråga om en tillåten behandling.
Datainspektionen har bedömt att användningen av statistikverktyget på webbplatsen innebär en behandling av personuppgifter i ett ostrukturerat material. En sådan behandling är tillåten så länge den inte kränker den som uppgifterna avser. För att avgöra om en behandling av personuppgifter är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till.
Datainspektionen har i den bedömningen vägt in bland annat följande:
Datainspektionen använder statistiken från verktyget Google Analytics för att förbättra innehåll, navigation och struktur på webbplatsen. Datainspektionen anser att det är ett berättigat ändamål.
Datainspektionen har minskat möjligheten att knyta uppgifterna till enskilda personer genom att ställa in verktyget så att det trunkerar (tar bort) de sista siffrorna i besökarnas IP-adress innan uppgiften lagras hos Google Inc. De uppgifter som samlas in genom verktyget är delar av besökarnas IP-nummer samt uppgift om vilka operativsystem, webbläsare och språkinställningar de har. Verktyget använder sig även av cookies och registrerar information om hur besökarna använt webbplatsen.
Den insamlade informationen vidarebefordras till Google och lagras på deras servrar i bland annat USA. Datainspektionen är personuppgiftsansvarig för insamlingen och Google Inc behandlar personuppgifter för inspektionens räkning. Det är således Datainspektionens bedömning att Google Inc är personuppgiftsbiträde åt inspektionen. I de allmänna villkoren för Google Analytics har Google åtagit sig att inte koppla samman den insamlade informationen med annan information. Google Inc har också anslutit sig till Safe Harbor som är en samling frivilliga regler om personlig integritet och dataskydd som har tagits fram och beslutats av USA:s handelsdepartement. Organisationer i USA kan anmäla till departementet att de ansluter sig till dessa regler. EU-kommissionen har bedömt att reglerna utgör en adekvat nivå för skyddet av personuppgifter vilket i sin tur innebär att överföringen av personuppgifter till sådana organisationer som anslutit sig till Safe Harbor har stöd i personuppgiftslagen.
Datainspektionen informerar på sin webbplats om insamlingen av uppgifterna och även om det tillägg som finns tillgängligt för vissa webbläsare för den som inte vill få sitt besök på webbplatsen registrerat.
Sammantaget anser Datainspektionen att dessa förutsättningar tillsammans med de övriga allmänna villkor som finns för Google Analytics gör att vår behandling av personuppgifter lever upp till de krav och bestämmelser som finns i personuppgiftslagen.
