Analyticsföretaget Piwik PRO har undersökt samtliga kommunhemsidor i Sverige för att se hur webbplatserna jobbar med att samla in personliga data från sina besökare.
Resultatet visar att hela 136 av 289 kommuner kan bryta mot GDPR genom att skicka personliga data till USA.
Att så pass många kommunhemsidor skickar data till USA är något som i grunden även påverkar företag, handel och byggindustrin som kommer i kontakt med kommunerna för bygglov, tillstånd eller annan service. Inte sällan sker den initiala kontakten via kommunens webb.
Efter Schrems II-domen från EU-domstolen sommaren 2020, som ogiltigförklarade Privacy Shield-avtalet mellan EU och USA, är det olagligt att föra över personuppgifter från EU till USA, om man inte kan garantera tillräcklig skyddsnivå. Bakgrunden till domen är de övervakningsmöjligheter som amerikanska federala myndigheter har genom lagstiftningen i USA.
Piwik PRO har i undersökningen tittat på vilken typ av datainsamlingsprogram, till exempel analytics-tjänster, som webbplatsen använder, om det finns ett samtyckesformulär eller ej, om det går att tacka nej till att data samlas in samt om data skickas till så kallat ”tredje land”, vilket oftast är USA.
I det fallet att det händer handlar det oftast om att kommunerna använder sig av den största amerikanska analyticstjänsten som skickar personuppgifter till USA trots att de har bristande skyddsåtgärder.
– Det har snart gått fem år sedan GDPR blev lag, och trots det är det fortfarande nästan hälften av kommunerna som inte följer den på sina hemsidor. Det är ett symptom på den generella kunskapsbrist som råder i samhället om GDPR och personlig integritet, och det är något som verkligen måste belysas, säger Maciej Zawadziński, vd på analyticsföretaget Piwik PRO.
I undersökningen Svenskarna och Internet som släpptes i november svarade 8 av 10 svenskar att de försöker skydda sin personliga integritet på nätet. Bilden förstärks av det faktum att var fjärde internetanvändare klickar ur cookies vid webbplatsbesök, och det menar Maciej Zawadziński är en utveckling som kommuner såväl som företag behöver ta på allvar.
Enkelt att GDPR-säkra webbplatser
Det bästa sättet att helt komma till bukt med frågorna som rör datatransferering är att bara använda datatjänster från länder inom EU eller EES. Sen är det också viktigt att på ett tydligt och korrekt sätt kommunicera vilka valmöjligheter besökaren har när det gäller vilken data som samlas in.
All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet räknas som personuppgifter, inklusive bland annat IP-adress, enligt Integritetsskyddsmyndigheten. Totalt är det 136 av 289 av kommunernas webbplatser som skickar personuppgifter om sina besökare till USA. Det motsvarar 47 procent. Gotland ingår ej i redovisningen då vi ej presenterar resultatet på kommunnivå.
