Nyt vuonna 2024 monella voi olla epätietoisuutta, että onko Google Analytics-analytiikatyökalua laitonta käyttää.
Erityisesti Analyticsin kanssa kilpailevat maksulliset analytiikkatyökalut ja niiden jälleenmyyjät ovat antaneet kuvan, että GA on laiton EU:ssa.
Se ei pidä paikkaansa.
Tämä teksti on sinulle, joka olet huolestunut Google Analyticsin laittomuudesta ja haluat tietää mitä itse voit tehdä
Onko Google Analytics laiton?
Google Analytics ei ole laiton Suomessa, koska heinäkuussa 2023 voimaan tullut EU-US Data Privacy Framework mahdollistaa turvallisen henkilötietojen keruun EU-kansalaisista.
Google Analyticsin “laittomuudesta” uutisointiin varsinkin vuonna 2022, kun EU-kansalaisten datan kulkeutuminen Yhdysvaltoihin ei vielä noudattanut GDPR-asetusta.
Tänä päivänä EU ja Yhdysvallat ovat kuitenkin mahdollistaneet mm. Google Analyticsin datankeruun laillisesti.
Google Analytics ei ollut ongelman ydin
Syy EU-maiden Google Analyticsin kieltoihin vuosina 2022-23 oli datan kulkeutuminen Googlen Yhdysvaltojen palvelimille ilman GDPR:n vaatimaa suojausta.
Päähuolenaiheena oli Yhdysvaltojen tiedustelu, sillä lain mukaan USA:n tiedustelu voi ottaa haltuunsa maassa säilöttyä dataa, mikä on yhdistettävissä yksittäisiin EU-kansalaisiin.
Ongelma oli merkittävä sillä Google, Meta, Microsoft ja suuri osa yhdysvaltalaisyrityksistä kärsi vuosia palveluidensa kielloista ja sakoista.
Esimerkiksi Facebook sai 1,2 miljardin sakot yksityisyyttä koskevien säädösten rikkomisesta.
Syy oli juurikin datansiirron suojauksen puuttuminen.
Google Analytics sai Facebookin tavoin paljon julkisuutta “laittomuudestaan”. Pääsyynä tähän oli, että Itävaltalainen NOYB-järjestö kohdisti Analyticsiin liittyen yli 100 kannetta ympäri EU:ta, jotta taustalla olevaan suurempaan ongelmaan saataisiin huomiota.
Myös Suomessa oli uutisoituja huomautuksia liittyen Google Analyticsin käyttöön kuten Helmet-kirjaston ja Ilmatieteen laitoksen tapauksessa.
On tosin hyvä huomioida, että nämä huomautukset kohdistuivat nimenomaan käytöstä poistuneeseen Universal Analytics-versioon.
Nykyään Analyticsia voi käyttää vain Google Analytics 4 -versiolla.
Miten GDPR tulee huomioida GA4:n kanssa?
Uusi Google Analytics 4 on lähtökohtaisesti parempi analytiikkatyökalu GDPR:n kannalta kuin vanhempi Universal Analytics.
Jokaisen GA4:n käyttäjän kannattaa kuitenkin huomioida muutama asia, jotta datankeruu todella noudattaa GDPR:ää.
Suosittelen tekemään ainakin nämä asiat:
- Ota käyttöön evästebanneri
- Noudata kävijöiden antamaa suostumusta
- Käytä vain GA4-versiota mikä ei kerää IP-osoitteita
- Päivitä tietosuojaselosteesi
Voit lukea näistä kohdista yksityiskohtaisemmin erillisestä oppaastani.
Lisätietoa: Mikä on EU-US Data Privacy Framework?
EU-kansalaisten datansiirtoa Yhdysvaltoihin on yritetty ratkaista lakiuudistuksilla jo monta vuotta.
Esimerkiksi vuonna 2016 tuli voimaan USA:n ja EU:n suunnittelema Privacy Shield, minkä piti ratkaista juurikin tämä.
Privacy Shield ei vain pysynyt pitkään pätevänä, kun vuonna 2020 se mitätöitiin tiedustelutoiminnan vuoksi Max Schremsin toimesta tapauksesessa nimeltä Schrems II.
Heinäkuussa 2023 tuli kuitenkin voimaa uusi, paranneltu EU-US Data Privacy Framework.
“All the safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) apply to all data transfers under the GDPR to companies in the US, regardless of the transfer mechanims used. “
– EU:n virallinen sivusto (ec.europa.eu)
EU-US Data Privacy Framework turvaa siis tällä hetkellä datasiirron Yhdysvaltoihin.
Tämän ansiosta voit käyttää Google Analyticsia täysin laillisesti, kunhan huomioit yllä kerrotut yksityisyyteen liittyvät asiat datankeruussa.