Hoppa till huvudinnehåll

Teknik

MTV, Danske bank och Kommunikationsministeriet bland mer än 100 anmälda – deras webbsidor skickar olovligt personuppgifter till USA

Från 2020
Illustrationsbild på dataöverföring från EU till USA.
Bildtext Illustrationsbild på dataöverföring från EU till USA.
Bild: Yle/Henri Salonen

En österrikisk dataskyddsgrupp har anmält företag i 30 europeiska länder för att skicka data om internetanvändare till USA, med hjälp av spårningskod från Google och Facebook. Också tre finländska myndigheter har anmälts, av en finländsk dataskyddsexpert.

Undrar du ibland varför du på nätet får riktad reklam om till exempel privat hälsovård just efter du har läst om det temat på en viss finländsk webbsida?

Svaret kan vara att sidan har skickat information om ditt besök till Facebook eller Google i USA, med hjälp av särskilda spårningskoder. IT-jättarna drar sedan nytta av det i sin reklamverksamhet globalt, och för att lära känna dig bättre. Data om internetanvändare är värt mycket pengar.

Också andra stora amerikanska IT-företag såsom Amazon och Microsoft kan slussa dina personuppgifter till USA, via webbsidor här i Europa.

Med personuppgifter avses all slags information som kan knytas till en viss person. Det kan till exempel röra sig om namn, IP-adresser, surfvanor, intressen, foton, videor och meddelanden.

Olagligt, påpekar EU-domstolen

EU-domstolen konstaterade ändå i juli att EU-medborgares dataskydd äventyras när data om dem överförs till just USA och att en sådan här överföring är olaglig, med få undantag.

Trots det fortsätter många företag och myndigheter att flytta personuppgifter dit.

Det finländska mediebolaget MTV och Danske bank är bland 101 företag i 30 EU- och EES-länder (Island,
Liechtenstein och Norge) som den här veckan har anmälts till den österrikiska dataombudsmannen, efter EU-domstolens klargörande domslut.

I anmälan påpekas att de här finländska webbplatserna skickar data om användare till Facebook i USA med hjälp av spårningskoden Facebook Connect.

Många företag och myndigheter i både Finland och andra EU- och EES-länder använder också koden Google Analytics, som är problematisk av liknande orsaker.

Data slussas till USA

Det är den österrikiska dataskyddsaktivisten Max Schrems grupp Noyb som ligger bakom anmälan. Schrems är också den som tog initiativ till det senaste EU-rättsfallet om dataöverföring till USA.

– Vi har gjort en sökning på populära webbsidor i varje EU-land och letat efter kod från Facebook och Google. Kodstyckena skickar vidare data om varje besökare till de här IT-jättarna, kommenterar han.

Max Schrems
Bildtext Max Schrems i en rättegång mot Facebook i februari.
Bild: AOP

Han tillägger att båda företagen medger att de slussar vidare data till USA.

Där måste de vid behov överlåta datamaterial till amerikanska underrättelsemyndigheter såsom NSA, något som EU-domstolen påpekade att är problematiskt eftersom det undergräver EU-medborgarnas dataskydd.

Huvudregeln är nu att överföring av personuppgifter från EU till USA inte är tillåten, om man inte kan garantera dataskyddet.

Men det är alltså i praktiken svårt eller omöjligt. I ett fråga-svar-dokument om domen skriver Europeiska dataskyddsstyrelsen till exempel så här:

"EU-domstolen har funnit att amerikansk lagstiftning inte säkerställer någon skyddsnivå som är väsentligen likvärdig [med EU:s dataskyddsförordning GDPR]."

Särskilt avtal skyddar inte mot spionaget

IT-jättar såsom Google, Facebook, Microsoft och Amazon kommenterar att de har rätt att fortsätta överföra personuppgifter till USA via särskilda avtal mellan företag – så kallade standardavtalsklausuler (SCC).

Det här är mer än skumt

― Max Schrems, dataskyddsaktivist

Men flera europeiska datskyddsmyndigheter påpekar att EU-domslutet visar att det oftast inte är tillåtet.

Dataskyddsaktivisten Max Schrems kommenterar saken så här:

– EU-domstolen var tydlig med att man inte får använda standardavtalsklausuler när mottagaren i USA faller under massövervakningslagar. Amerikanska företag försöker nu övertyga sina kunder i EU om motsatsen. Det här är mer än skumt.

Flera utredningar är att vänta mot olika myndigheter och företag.

EU:s dataskyddsförordning ger också dataskyddsmyndigheterna makt att utfärda särskilda sanktionsavgifter i den här frågan, för brott mot dataskyddsförordningen (GDPR).

– Varken Google Analytics eller Facebook Connect är nödvändiga för att webbsidorna ska kunna fungera och aktörer i EU borde redan för länge sedan ha ersatt eller tagit bort de här tjänsterna från sina sidor, säger Max Schrems.

MTV kommenterar

Mediebolaget MTV kommenterar till Svenska Yle att man på sina webbsidor använder sig av Facebook Connect för att användare lättare ska kunna dela olika artiklar på sociala medier.

Det sker via särskilda spårande delningsknappar som är kopplade till Facebook.

– Vi följer med förändringar i lagstiftningen och försöker utveckla vår verksamhet utgående från det. Vi ska noga lyssna på dataskyddsmyndigheterna i den här frågan, säger chefsjurist Leia Ahlström.

Hon tillägger att kundernas förtroende för MTV, och deras dataskydd, är prioriterade frågor.

– Vi vill försäkra oss om att kunder ska kunna dela med sig av sina personuppgifter utan att vara oroade, tillägger hon.

Danske bank: Vi samarbetar med myndigheter

Danske bank i Finland, som dataskyddsgruppen Noyb också anmäler, ställer inte upp på intervju men i ett uttalande till Svenska Yle säger banken att kundernas dataskydd är viktigt.

Man tillägger också:

"Vi är medvetna om den här klagan och om EU-domslutet i juli och vi värderar nu i vilken utsträckning vi ska ta till åtgärder för för att skydda kundernas personuppgifter. Vi samarbetar naturligtvis också med myndigheter vid behov."

Tre finländska myndigheter

Den finländska dataskyddsexperten Heikki Tolvanen har dessutom redan i juni anmält Justitieministeriet, Kommunikationsministeriet och Transport- och kommunikationsverket Traficom för samma sak – att de "olagligt överför personuppgifter till USA".

Det handlar om offentliga tjänster som många medborgare inte kan undvika att använda

― Heikki Tolvanen, dataskyddsexpert

En koll som Svenska Yle har gjort den här veckan visar att Kommunikationsministeriet fortfarande har Google Analytics på sin sajt.

Myndigheten Traficom använder spårare särskilt på en sida där man kan jämföra olika bilmodeller. Där finns spårare kopplade till Google, Adobe och FontAwesome.

Justitieministeriet kör däremot inte längre med utländska spårare, och verkar följa reglerna. Man använde tidigare Google Analytics men man har slutat med det.

Heikki Tolvanen, vad anser du om att data överförs till USA från offentliga aktörers webbsidor?

– Det är förfärande och verkligen inte okej. Det handlar om offentliga tjänster som många medborgare inte kan undvika att använda. De som har ansvar för webbsidorna borde satsa på att fixa det här så snart som möjligt, säger han.

Svenska Yle berättade redan år 2016 att finländska ministerier, städer och sjukvårdsdistrikt slussade en hel del information om finländares surfvanor till amerikanska företag.

Många kommuner använder fortfarande Google Analytics, enligt en koll som Svenska Yle har gjort (se faktarutan här nedan).

Google- och Facebook-spårning inom den offentliga sektorn

Åtminstone följande kommuner använder Google analytics på sina webbsidor: Vanda, Borgå, Grankulla, Hangö, Raseborg, Karleby, Lappträsk, Lojo, Lovisa, Mörskom, Pyttis, Sibbo, Vasa, Åbo, Kimitoön, Kristinestad, Pargas, Ingå, Malax, Vörå, Jakobstad och Mariehamn.

Lovisa, Sjundeå och Pargas använder Facebook-spårare.

Inga ministerier använder i nuläget Google analytics eller Facebook-spårare.

Källa: Svenska Yles koll med verktyget Privacy Badger 20.8.2020.

Tror du att offentliga aktörer ändå i medeltal har skött sig bättre än vad företag har gjort?

– Ja, det skulle jag nog säga. För många företag är det här en mindre prioriterad fråga. Det har blivit lite av Vilda västern på den här punkten. Saken har inte övervakats hittills i Finland, svarar Heikki Tolvanen.

Dataombudsmannens byrå i Finland har börjat titta närmare på hur finländska aktörer nu agerar, efter EU-domslutet. Vad hoppas du på?

– Jag hoppas på klara spelregler kring vad man får eller inte får göra, och tillräckligt bra instruktioner särskilt till småföretagare. De vet ofta inte ens vad som avses när man talar om dataöverföring till USA.

Också Yle använde tidigare produkten Google Analytics på sina webbsidor. Dataskyddsansvariga Juha Kirveslahti berättar ändå att företaget har frångått det till förmån för andra verktyg som har mer fokus på dataskydd för besökarna.

– Vi kunde inte gå med på de villkor som Google ställde gällande dataskyddet i analytikprodukten. Det fanns ingen möjlighet att förhandla om saken, säger han.

Yles webbsidor sparas dessutom hos företaget Amazon, men enligt överenskommelse inom EU – i Irland.

Google och Microsoft valde att inte ställa upp på intervju. De hänvisade istället till blogginlägg (se Microsofts inlägg och Googles inlägg). Texterna argumenterar för att det är okej att fortsätta slussa EU-invånares personuppgifter till länder utanför unionen, med hjälp av särskilda avtal (de så kallade standardavtalsklausulerna).

Diskussion om artikeln