Nyt vuonna 2023 monella voi olla epätietoisuutta, että onko Google Analytics-analytiikatyökalua laitonta käyttää.
Erityisesti Analyticsin kanssa kilpailevat maksulliset analytiikkatyökalut ja niiden jälleenmyyjät ovat antaneet kuvan, että GA on laiton koko EU:ssa.
Se ei pidä paikkaansa.
Tämä teksti on sinulle, joka olet huolestunut Google Analyticsin laittomuudesta ja haluat tietää mitä itse voit tehdä
Läpinäkyvyyden nimissä haluan sanoa, että en itse työskentele minkään analytiikatyökalun jälleenmyyjänä tai jälleenmyyjäyrityksessä.
Olen kuitenkin pitkäaikainen Analyticsin käyttäjä ja kouluttaja. Huomioi myös, että tämän teksti ei sisällä lakineuvoja.
Onko Google Analytics laiton?
Google Analytics ei ole laiton Suomessa, mutta joidenkin EU-maiden tietosuojaviranomaiset ovat linjanneet Google Analyticsin laittomaksi.
Syynä linjauksiin on EU-kansalaisten henkilökohtaisen datan kulkeutuminen Yhdysvaltoihin, jossa paikallisilla viranomaisilla olisi teoriassa pääsy siihen.
EU:lla ja USA:lla ei tällä hetkellä ole tarvittavaa GDPR-asetusta noudattavaa tiedonsiirron sopimusta sen jälkeen kun Privacy Shield mitätöitiin vuonna 2020.
Sama tiedonsiirron haaste koskettaa suurta määrää Yhdysvaltalaisia pilvipalveluita käyttävistä yrityksistä, kuten Microsoftia ja Facebookia, vaikka Googlen Analytics-työkalu on saanut eniten huomiota.
Uusin tapaus Suomessa: Henkilötietojen käsittely Helmet-kirjastoissa
Suomen Apulaistietosuojavaltuutettu antoi vuonna 2022 Helmet-kirjastoille huomautuksen henkilötietojen käsittelystä.
Ongelmana oli, että Analyticsin seurannan kautta Googlelle oli päätynyt IP-osoitteita kirjaston asiakkaista.
Helmet.fi:ssä ei nimittäin pyydetty asianmukaisesti lupaa tietojenkeruuseen evästebannerilla, eikä käyttäjille myöskään kerrottu tietojen keräämisestä riittävästi. GDPR:n noudattaminen vaatii näitä kumpaakin.
“Apulaistietosuojavaltuutettu kiinnittää käsittelyperusteen osalta erityistä huomiota siihen, että Helmet-kirjastot ovat asentaneet seurantateknologioita sivustolla vierailijan päätelaitteelle heti verkkosivustolle saavuttaessa, ennen kuin esimerkiksi evästesuostumuksen hankintaan käytettävää, valintoja sisältävää ikkunaa (ns. evästebanneri) on edes näytetty käyttäjälle”
Olen koonnut tämän artikkelin loppuun ohjeet, joilla voit ennaltaehkäistä vastaavia ongelmia omalla sivustollasi.
Voit lukea koko Tietosuojavaltuutetun päätöksen tästä.
Google Analytics ei ole ongelman ydin
Syynä EU-maiden tietosuojaviranomaisten linjauksissa Google Analyticsiin liittyen on lähes poikkeuksetta ollut datan kulkeutuminen Googlen Yhdysvaltojen palvelimille ilman GDPR:n vaatimaa suojausta.
Päähuolenaiheena tässä on Yhdysvaltojen tiedustelu.
Tiedusteluviranomaiset voivat Yhdysvaltain lain mukaan periaatteessa ottaa haltuunsa maassa säilöttyä dataa, mikä on yhdistettävissä yksittäisiin EU-kansalaisiin:
“Current US surveillance laws … don’t protect data held on people living outside the US as well as they do those living inside it. In short: It’s theoretically possible for US surveillance agencies to collect huge amounts of data that’s moved to the country.”
– Wired
Tiedonsiirto Yhdysvaltoihin ei tosin ole mikään aivan uusi ongelma.
Jo vuonna 2016 tuli voimaan USA:n ja EU:n suunnittelema Privacy Shield, minkä piti ratkaista juurikin tämä.
Privacy Shield ei vain pysynyt pitkään pätevänä, kun vuonna 2020 se mitätöitiin tiedustelutoiminnan vuoksi Max Schremsin toimesta tapauksesessa nimeltä Schrems II.
Google ei kuitenkaan ole ainoa yritys, joka lähettää vastaavaa tietoa EU-kansalaisista Atlantin yli.
Puuttuvan tiedonsiirtolain jälkimaininkina tulilinjalla on nyt ainakin Google Analytics, Facebook sekä Microsoft Office.
Periaatteessa Facebookin, Microsoftin, Amazonin ja monien muiden yritysten pilvipalvelut voitaisiin nykyisiä tapausta soveltaen kieltää EU:n sisällä yksi kerrallaan:
“The bottom line is: Companies can’t use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced..”
– Max Schrems, NOYB
Lakiuudistus tulossa: EU-U.S. Data Privacy Framework
EU ja Yhdysvallat esitteli uuden Trans-Atlantic Data Privacy Frameworkin maaliskuussa 2022.
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities.
– Euroopan komissio (ec.europa.eu)
Kyseessä on vielä kehitteillä oleva lakiuudistus, mutta sen on lopulta tarkoitus taata turvallinen tiedonsiirto mm. Google Analyticsille.
Mitä voit nyt tehdä Analyticsin käyttäjänä?
Analyticsin laillisuuteen liittyvät asiat riippuvat tällä hetkellä eniten EU-U.S. Data Privacy Frameworkin onnistumisesta.
Voit kuitenkin itse varmistaa, että omalla Analytics-tililläsi on käytössä parhaat mahdolliset tietosuojaa tukevat ominaisuudet.
Suosittelen tekemään ainakin nämä asiat:
- Ota käyttöön evästebanneri
- Noudata kävijöiden antamaa suostumusta
- Käytä vain GA4-versiota mikä ei kerää IP-osoitteita
- Päivitä tietosuojaselosteesi
Voit lukea näistä kohdista yksityiskohtaisemmin tästä oppaastani:
