Onko Google Analytics laiton Suomessa? – Toimi näin (2022)

Santeri Kallio
Santeri Kallio

Nyt vuonna 2022 monella on epätietoisuutta, että onko Google Analytics-analytiikatyökalua laitonta käyttää.

Erityisesti Analyticsin kanssa kilpailevat maksulliset analytiikkatyökalut ja niiden jälleenmyyjät ovat antaneet kuvan, että GA on laiton koko EU:ssa.

Se ei pidä paikkaansa.

Tämä teksti on sinulle, joka olet huolestunut Google Analyticsin laittomuudesta ja haluat tietää mitä itse voit tehdä

Läpinäkyvyyden nimissä haluan sanoa, että en itse työskentele minkään analytiikatyökalun jälleenmyyjänä tai jälleenmyyjäyrityksessä.

Olen kuitenkin pitkäaikainen Analyticsin käyttäjä, kuten sivustoni sisällöistä varmasti näkee.


Onko Google Analytics laiton?

Google Analytics ei ole laiton Suomessa, mutta Itävaltojen ja Ranskan tietosuojaviranomaiset ovat linjanneet Google Analyticsin laittomaksi.

Syynä linjauksiin on EU-kansalaisten henkilökohtaisen datan kulkeutuminen Yhdysvaltoihin, jossa paikallisilla viranomaisilla olisi teoriassa pääsy siihen.

EU:lla ja USA:lla ei tällä hetkellä ole tarvittavaa GDPR-asetusta noudattavaa tiedonsiirron sopimusta sen jälkeen kun Privacy Shield mitätöitiin vuonna 2020.

Sama tiedonsiirron haaste koskettaa suurta määrää Yhdysvaltalaisia pilvipalveluita käyttävistä yrityksistä, kuten Microsoftia ja Facebookia, vaikka Googlen yksi työkalu on saanut eniten huomiota.


Mitä on tapahtunut?

Päivitetty 8.3.2022

Google Analytics laittomaksi Itävalloissa – 22.12.2021

Itävaltojen tietoturvavirannomainen Datenschutzbehörde ilmoitti joulukuussa 2021, että terveysalan yrityksen sivustolla käytetty Google Analytics rikkoi EU:n GDPR-tietosuoja-asetusta.

Tämän valituksen takana oli NOYB-ryhmä, jonka taustalla toimii itävaltalainen asianajaja ja aktivisti Max Schrems.

NOYBin voittoa uutisoitiin nopeasti ympäri maailmaa.

Monesti otsikointi tosin oli, että “Google Analytics on laiton EU:ssa”, vaikka päätös koski nimenomaan Itävaltaa.


Google Analytics laittomaksi Ranskassa – 10.2.2022

Helmikuussa 2022 Ranskan tietosuojavalvontaviranomainen CNIL päätyi siihen, että ranskalaisen verkkosivuston ei tule käyttää Google Analyticsia.

Syy oli sama kuin Itävalloissa, eli GDPR:

The CNIL considers that these transfers are illegal and orders a French website manager to comply with the GDPR and, if necessary, to stop using this service under the current conditions.

– CNIL (Ranskan tietosuojaviranomainen)

Ranskan linjaus toi täten tukea siihen, että Itävalloista alkanut tapaus voi alkaa vaikuttaa muissakin EU-jäsenmaissa.


Google esitteli teknisen ratkaisun – 23.3.2022

Maaliskuussa 2022 Google järjesti Data Controls in Google Analytics-webinaarin esittelemään Analyticsin yksityisyyteen liittyviä uusia ja nykyisiä ominaisuuksia.

Siinä Googlen edustaja kertoi, että Google Analyticsiin tulee tekninen uudistus vastaamaan Analyticsin laittomuuskohun keskellä olevia IP-osoitteita:

Lähitulevaisuudessa Google Analytics käsittelee IP-osoitteet EU:n sisällä ennen datan lähettämistä Yhdysvaltoihin.

Tässä on linkki webinaatin tallenteeseen.


EU esitteli Trans-Atlantic Data Privacy Frameworkin – 25.3.2022

Maaliskuun lopussa 2022 Euroopan komissio ilmoitti uudesta Trans-Atlantic Data Privacy Frameworkista.

EU ja USA tulevat työstämään tätä muutosta vielä jonkin aikaa ennen kuin se voi taata turvallisen datansiirron Google Analyticsille ja monille muille palveluille.

The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities.

– Euroopan komissio (ec.europa.eu)


Voiko Analyticsistä tulla laiton Suomessa?

Yllä olevia tapauksia liittyen pilvipalveluiden Yhdysvaltojen datansiirtoon on jo vireillä NOYB:n toimesta kokonaisuudessaan 30:ssä EU- ja EEA-jäsenmaassa.

On periaatteessa mahdollista, että Google Analyticsistä tulee vähitellen laiton koko Euroopan Unionissa, myös Suomessa.

Koska tietosuojalait ovat muuttuneet lähivuosina jatkuvasti, niin olennaisempi kysymys onkin, että voiko Analyticsin laittomuus jäädä pysyväksi tilaksi.

Google yrittää varmasti välttää tätä kaikin tavoin.

Analyticsia nimittäin käytetään Google Ads-mainonnan mittaamiseen, ja Ads taas tuottaa yli 80% Googlen (Alphabet) kaikista tuloista.

Google onkin viestinyt helmikuusta alkaen, että se aikoo sitoutua tarjoamaan parempia datanhallinnan asetuksia Analyticsiin.

Pelkät tekniset muutokset eivät tosin tule riittämään, vaan kyse on suuremmasta lakiin liittyvästä ongelmasta.


Google Analytics ei ole ongelman ydin

Syynä tietosuojaviranomaisten linjauksissa on ollut datan kulkeutuminen Google Analyticin kautta Yhdysvaltojen palvelimille ilman GDPR:n vaatimaa suojausta.

Päähuolenaiheena tässä on Yhdysvaltojen tiedustelu.

Tiedusteluviranomaiset voivat Yhdysvaltain lain mukaan periaatteessa ottaa haltuunsa maassa säilöttyä dataa, mikä on yhdistettävissä yksittäisiin EU-kansalaisiin:

“Current US surveillance laws … don’t protect data held on people living outside the US as well as they do those living inside it. In short: It’s theoretically possible for US surveillance agencies to collect huge amounts of data that’s moved to the country.”

Wired

Tiedonsiirto Yhdysvaltoihin ei tosin ole mikään aivan uusi ongelma.

Jo vuonna 2016 tuli voimaan USA:n ja EU:n suunnittelema Privacy Shield, minkä piti ratkaista juurikin tämä.

Privacy Shield ei vain pysynyt pitkään pätevänä, kun vuonna 2020 se mitätöitiin Max Schremsin toimesta tapauksesessa nimeltä Schrems II.

Syynä oli silloinkin USA:n tiedustelutoiminta.

Puuttuvan tiedonsiirtolain jälkimaininkina tulilinjalla on nyt Google Analytics, vaikka kohde voisi olla moni muukin.

Google ei ole ainoa yritys, joka lähettää vastaavaa tietoa EU-kansalaisista Atlantin yli.

Periaatteessa Facebookin, Microsoftin, Amazonin ja monien muiden yritysten pilvipalvelut voitaisiin nykyisiä tapausta soveltaen kieltää EU:n sisällä, yksi kerrallaan:

“The bottom line is: Companies can’t use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced..”

– Max Schrems, NOYB

Maaliskuussa 2022 tuli kuitenkin toivon pilkahdus, kun EU ja Yhdysvallat esitteli uuden Trans-Atlantic Data Privacy Frameworkin.

Kyseessä on vielä kehitteillä oleva lakiuudistus, mutta sen on lopulta tarkoitus taata turvallinen tiedonsiirto mm. Google Analyticsille.


Mitä voit tehdä Google Analyticsin käyttäjänä?

Analyticsin laillisuuteen liittyvät asiat riippuvat tällä hetkellä eniten EU-tasolla tehtävistä laista.

Voit kuitenkin itse varmistaa, että omalla Analytics-tililläsi on käytössä parhaat mahdolliset tietosuojaa tukevat ominaisuudet.

Suosittelen tekemään ainakin nämä asiat:

  1. Noudata kävijöiden suostumusta oikein toimivalla evästebannerilla
  2. Anonymisoi Google Analyticsin keräämät IP-osoitteet
  3. Harkitse Google Signaalit-ominaisuuden poistamista

Olen myös tehnyt aiheesta oppaan, mitä suosittelen luettavaksi kaikille analytiikkatyökalujen käyttäjille:


OPAS: Analytiikka, evästeet ja yksityisyys



Santeri Kallio

Data-analyytikko (Reaktor)

Kouluttaja (Kallio Training & Consulting)

Blogissani näytän miten voit näkyä paremmin netissä ja parantaa myyntiä datalla … Lue lisää

Vastaa

Sähköpostiosoitettasi ei julkaista.