Hoppa till innehåll

PUB-avtal med Google — Workspace, Analytics och Cloud

Google är en av de vanligaste personuppgiftsbiträdena för svenska företag. Lär dig hur Google hanterar GDPR, vilka avtal du behöver, och hur du säkerställer en korrekt DPA för alla Googles tjänster.

Google är sannolikt den leverantör som flest svenska företag behöver ett personuppgiftsbiträdesavtal (PUB-avtal) med — och ändå är det en av de avtal som hanteras mest slarvigt. Problemet är att Google inte är en tjänst utan ett ekosystem: Google Workspace (Gmail, Drive, Docs, Meet), Google Analytics 4, Google Ads och Google Cloud Platform är separata produkter med olika databehandlingskonstruktioner och delvis separata DPA-dokument.

För de flesta svenska företag ser verkligheten ut så här: Google Analytics sätter cookies och samlar in besökardata utan att ett giltigt samtycke alltid finns på plats. Google Workspace hanterar intern e-post, dokument och mötesinspelningar som innehåller affärsinformation och personuppgifter. Google Ads kopplar besökardata till annonsklick och konverteringar — en dataflöde som kräver korrekt rättslig grund.

Google erbjuder ett Cloud Data Processing Addendum (CDPA) som automatiskt aktiveras när du godtar Googles Terms of Service. Men det är ett standardavtal och räcker inte alltid — din organisation måste ha kontroll över vilka personuppgifter som faktiskt behandlas, med vilket ändamål, i vilka länder, och under vilken lagringstid.

IMY:s granskning av Google Analytics 2022–2024 konstaterade att den dåvarande implementationen av Universal Analytics (UA) i standardläge bröt mot GDPR eftersom analysdata skickades till Googles servrar i USA utan adekvata skyddsåtgärder. Beslutet fick genomslag i hela EU: österrikiska DSB, franska CNIL och tyska dataskyddsmyndigheter fattade parallella beslut. Den direkta konsekvensen för svenska företag var att GA4 med EU-datalagring, samtyckesläge och dataminimering krävdes för fortsatt laglig användning.

Att ha ett korrekt PUB-avtal med Google innebär inte bara att du laddat ner CDPA och lagt det i en mapp. Det kräver en intern förståelse för vilka Googles produkter du faktiskt använder, hur dataflödet ser ut, och hur du implementerar Googles tekniska inställningar (Consent Mode, IP-anonymisering, EU-datalagring) för att aktivera GDPR-skydden.

→ Officiellt DPA-avtal från leverantören ↗

Kontrollera er compliance på några minuter

Generera ditt PUB-avtal med Google gratis — klart på 10 minuter

Kör gratis skanning

Googles DPA-struktur

Google delar upp sina DPA-avtal per produktkategori:

  • Google Workspace DPA: Täcker Gmail, Drive, Docs, Sheets, Meet, Calendar och alla Workspace-appar. Aktiveras automatiskt via Workspace Admin Console under Säkerhet > Dataskydd.
  • Google Ads DPA: Täcker Google Ads, Display & Video 360 och Search Ads 360. Kräver separat signering under Googles annonsavtalsportal.
  • Google Analytics 4 DPA: Ingår i Google Analytics Terms of Service men kräver explicit aktivering av datadelningsavtal i GA4-gränssnittet under Admin > Dataskydd.
  • Google Cloud CDPA: Täcker alla Google Cloud Platform-tjänster. Aktiveras via IAM-konsolen och är automatiskt inkluderat för Enterprise-kunder.

Google Analytics 4 och GDPR

GA4 är Googles svar på de europeiska tillsynsmyndigheternas kritik mot Universal Analytics. De viktigaste GDPR-relevanta skillnaderna och kraven:

Samtyckes-läge (Consent Mode v2): GA4 stödjer Consent Mode v2, som anpassar datainsamlingen baserat på besökarens samtyckesval. När en besökare nekar analyticscookies ersätter GA4 exakta mätdata med modellerade data (machine learning-aggregering) — ingen personidentifierbar data skickas. Consent Mode måste implementeras aktivt i din cookie-banner via en CMP (Consent Management Platform).

EU-datalagring: GA4 erbjuder ett alternativ att lagra analysdata på Googles EU-baserade servrar. Aktiveras under Admin > Datainsamling > Datalagringsregion. OBS: EU-lagring gäller rå analysdata men inte alla Google-interna processer — det är inte ett fullständigt skydd mot transatlantiska dataflöden.

IP-anonymisering: I GA4 är IP-anonymisering aktiverad som standard (till skillnad från UA). Googles servrar tar emot hela IP-adressen temporärt men lagrar enbart anonymiserad data. Kontrollera att inga tredjeparts-plugins eller anpassade implementationer överför hela IP-adressen i event-parametrar.

Lagringstid: Standardlagringstiden för händelsedata i GA4 är 2 månader. Du kan ändra till 14 månader under Admin > Datainsamling. Längre lagring kräver starkare motivering i integritetspolicyn.

Google Workspace och personuppgifter

Google Workspace behandlar e-post, dokumentinnehåll, kalenderdata och videosamtal. Googles CDPA garanterar att:

  • Google enbart behandlar data för att tillhandahålla tjänsten (inga reklamanvändningsanvändningsändamål)
  • Data i Workspace krypteras i transit och i vila
  • Googles anställda har begränsad och granskad åtkomst till kunddata
  • EU/EEA-kunder kan välja EU-datalagring (Google EEA Data Region) för att hålla Workspace-data inom EES

Vad Workspace-DPA:n inte täcker: personalanalysverktyg som Workplace Insights kan spåra anställdas beteendemönster. Dessa funktioner kräver separat bedömning och i många fall kollektivavtal eller DPA-krav under arbetsrätten.

Google Ads och tredjelandsöverföring

Google Ads-data — klickdata, konverteringshändelser, Customer Match-listor — flödar mellan din webbplats, Googles servrar och eventuellt Googles datacenter utanför EES. Skyddsåtgärden är EU-US Data Privacy Framework (DPF): Google LLC är certifierat under DPF, vilket ger ett adekvat skyddsnivå för USA-överföringar.

För Customer Match (uppladdning av kundlistor) gäller att du delar personuppgifter (e-postadresser, telefonnummer) med Google för annonsriktning. Detta kräver: - Korrekt rättslig grund (vanligtvis samtycke för marknadsföringssyften) - Information i integritetspolicyn om att uppgifter delas med Google för annonssyften - Customer Match-avtalet signerat i Googles Ads-konto

Teknisk checklista för Google-compliance

Se till att du har implementerat dessa punkter innan du betraktar Google-integrationen som GDPR-compliant:

  1. CDPA aktiverat i Workspace Admin Console
  2. GA4 DPA aktiverat i Analytics Admin
  3. Consent Mode v2 implementerat i cookie-bannern
  4. EU-datalagring aktiverat i GA4
  5. Lagringstid inställd (max 14 månader för de flesta ändamål)
  6. IP-anonymisering bekräftad (standard i GA4 men kontrollera anpassade implementationer)
  7. Customer Match-avtal signerat om du använder den funktionen
  8. Integritetspolicyn uppdaterad med Google som personuppgiftsbiträde
  9. Google angivet i Art. 30-registerförteckningen
  10. DPA-dokumenten sparade i er compliance-mapp med datum för aktivering

Google Workspace Admin Console ger er centraliserad kontroll över datalagring och åtkomst. Aktivera kontextmedveten åtkomst (Context-Aware Access) för att begränsa åtkomst till Google Workspace baserat på enhetsstatus och plats – en viktig GDPR artikel 32-åtgärd om tekniska skyddsmekanismer. Google Vault möjliggör bevarande och eDiscovery av e-post och Drive-data; sätt Vault-policyer per legal hold eller GDPR-bevarandetid.

Google Analytics 4 (GA4) behandlar IP-adresser och cookiedata som personuppgifter. Google är biträde för GA4-data; aktivera IP-anonymisering och server-side tagging för att minimera datatransfer till Google. IMY:s beslut mot Coop 2023 och mot CNPS 2022 (danska) klargjorde att GA-implementationer utan rätt skydd bryter mot Schrems II. Använd Consent Mode v2 och säkerställ att GA4-mätning sker utan cookies förrän samtycke ges.

IMY-precedent

IMY om Google Analytics — tredjelandsöverföring utan adekvat skydd (2022–2024)

IMY deltog i den europeiska koordinerade granskningen av Google Analytics (Universal Analytics) och konstaterade att standardimplementationen bröt mot GDPR kapitel V om tredjelandsöverföring. Analytics-data skickades till Google LLC i USA utan tillräckliga skyddsåtgärder. Beslutet ledde till att Google tvingades erbjuda EU-datalagring och Consent Mode v2 för GA4. Svenska företag som använder GA4 utan dessa inställningar riskerar likartad tillsyn.

Alla IMY-beslut

Komplett GDPR-guide för svenska företag

Vår kompletta guide täcker alla GDPR-krav inklusive PUB-avtal, registerförteckning och hur du hanterar tredjepartsleverantörer som Google.

Läs GDPR-guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →