Google Analyticsin tietosuoja – Missä nyt mennään?

Kategoriat

Web-analytiikka | Päivitetty 14.8.2023

Outi Aramo
Partner, Management Consultant, Analytics Lead

Uutisia heinäkuulta: kuten oli odotettavissa, EU ja USA saivat hyväksytyksi uuden tiedonsiirtosopimuksen. Tämä muuttaa tilanteen täysin niiltä osin, kun eurooppalaisten tietosuojaviranomaisten esiin nostamat tietosuojarikkomukset ovat liittyneet mannertenväliseen tiedonsiirtoon.

Tietosuoja puhuttaa digimarkkinoinnin alalla. Kuumia aiheita ovat ensinnäkin GDPR:stä juontuva evästehallinta ja sitä sivuava samanaikainen kehitys, jossa tavoitteena on luopua kolmannen osapuolen evästeiden käytöstä.

Toiseksi puhuttavat datan säilyttämiseen liittyvät tietosuojakysymykset. Tähän liittyy keskustelu Googlen Analyticsin tietosuojasta. Kysymys on Google Analyticsiäkin suurempi, ja joidenkin arvioiden mukaan kysymys on politisoitunut, sillä se perustuu laajemmin Euroopan ja Yhdysvaltojen välisen tietoliikenteen tietosuojaan.

Google Analytics GDPR

Itävallan tietosuojaviranomaisten mielestä Google Analytics rikkoo GDPR direktiiviä. EU:lla ei ole USA:n kanssa voimassaolevaa tietosuojasopimusta ja siksi on todennäköistä, että monista muistakin EU:sta nostetaan syytteitä yhdysvaltalaisia palveluja vastaan.

Itävallan tietosuojaviranomaiset kiinnittivät huomiota erään itävaltalaissivuston seurantajärjestelmään ja arvostelivat sitä, että kerätty tieto päätyy Googlen palvelimille Yhdysvaltoihin. Eurooppalaisille tietosuojaviranomaisille Euroopassa kerätyn datan siirtäminen Atlantin yli on ongelmallista. Itävallan Datenschutzbehörde totesi 22.12.2021, että Google Analyticsin käyttäminen eräällä sivustolla oli rikkomus. Yhdysvaltoihin lähetettävä data ei ole sen mielestä riittävällä tavalla suojattu USA:n tiedustelupalvelulta. Erityisesti kiinnitettiin huomiota IP osoitteiden keräämiseen ja niiden potentiaaliseen hyödyntämiseen. Itävallan tapauksessa oli tosin monia puutteita, joista yksi oli käyttäjien seuraaminen ilman käyttäjien eksplisiittisesti antamaan lupaa ja esimerkiksi puutteellinen IP anonymisointi.

Eurooppalaisille tietosuojaviranomaisille Euroopassa kerätyn datan siirtäminen Atlantin yli on ongelmallista.

EU-maista myös Tanskan tietosuojaviranomaisilta (21.9.2022). Tämä mukaan Google Analyticsin käyttö rikkoo vallitsevaa tietosuojalakia eikä sitä tule käyttää ilman lisättyä tietosuojaa.
Aiemmin samansisältöinen päätös on tullut Ranskan valvontaviranomaiselta CNIL:iltä, joka tuomitsee Google Analyticsin käytön ranskalaisilla sivustoilla. Perustelut ovat samansisältöiset kuin Itävallassa. Myös Italian tietosuojaviranomaiset ovat päätyneet samaan päätelmään.

Uusin päätös on tullut meiltä Suomesta.

Tietosuojavaltuutetun toimiston uutinen aiheesta on täällä. Uutisen kautta pääsee myös tarkastelemaan itse päätöstä. Päätöksessä velvoitetaan Helmet-organisaatiota poistamaan seurantateknologiat sivuiltaan sekä hävittämään kerättyä tietoa. 

Päätös on esimerkki siitä, miten lakia voidaan soveltaa palvelukohtaisesti. Päätös herättää ajatuksia, koska kyseisen verkkopalvelun seurannan osalta on havaittavissa useita asioita, jotka eivät liity Google Analyticsiin sinänsä, vaan ovat seurausta heikosta seurannan toteutuksesta. 

Seuraavat asiat, jotka näyttävät vaikuttaneen päätökseen, ovat helposti korjattavissa huolellisella ja asiantuntevalla seurannan toteutuksella:

  • Lainmukainen ja oikealla tavalla toimiva evästehallinta
  • Palveluun soveltuva ja saavutettava tietosuojaseloste
  • Seuranta, jossa ei kerätä yksilöivää tietoa. Valvotaan kerättävän datan laatua ja varmistetaan, että se ei sisällä PII dataa.
  • Siirrytään käyttämään GA4-versiota, jossa on lisätty tietosuojan kontrollia

Euroopan tietosuojavaltuutettu (European Data Protection Supervisor (EDPS)) totesi puolestaan Euroopan Parlamentin korona-sivuston rikkovan GDPR-säännöstä käyttämällä mm. Google Analyticsiä (11.1.2022).

EU:n ja Yhdysvaltojen välinen tiedonsiirtosopimus on avain

Taustalla on EU-tuomioistuimen päätös liittyen 2016 solmittuun niin kutsuttuun EU-US Privacy Shield – diiliin. Kyseisen sopimuksen mukaan yhdysvaltalaiset yritykset kuten Google ja Facebook ovat saaneet varsin vapaasti kerätä käyttäjistä tietoa kunhan ne listautuvat vuosittain yhdysvaltain kauppaministeriön Privacy Shield yritysten listalle. EU-tuomioistuin kuitenkin totesi järjestelyn riittämättömäksi tietosuojan kannalta päätöksessään 16.7.2020. Tämä päätös vaikuttaa eurooppalaisiin toimijoihin (rekisterinpitäjiä) ensi alkuun niin, että on suotavaa valita datan säilytyspaikaksi EU.

EU-US Privacy Shield -sopimus on todettu riittämättömäksi tietosuojan kannalta ja uutta puitesopimusta ei ole vielä solmittu.

Kaikki tahot eivät EU:n sisälläkään ole yksimielisiä tulkinnoista.

Nyt EU:n ja USA:n on neuvoteltava uusi puitesopimus asiassa. Googlen lakiasiainvastaava Kent Walker (President, Global Affairs & Chief Legal Officer, Google & Alphabet) kirjoitti blogissaan 19.1.2022, että “Businesses in both Europe and the U.S. are looking to the European Commission and the U.S. Department of Commerce to quickly finalize a successor agreement to the Privacy Shield that will resolve these issues.”

Tällä välin, kun puitesopimusta ei ole, Euroopan maat, Suomi mukaanlukien, toimivat yhteistyössä ja omien tietosuojaviranomaistensa johdolla ja nostavat mahdollisesti yksittäisiä syytteitä tietosuoja-asioissa. Huomattavaa on, että samassa tilanteessa ovat kaikki Yhdysvalloissa tai muualla EU:n ulkopuolella dataa säilyttävät yritykset. Toisin sanoen Google Analytics ei suinkaan ole ainoa järjestelmä, joka on hyödyntänyt Privacy Shieldin suomia oikeuksia – joukkoon lukeutuvat myös mm. Amazon, Facebook, Twitter, YouTube, TikTok, Apple ja Microsoft.

Google julkaisi oman vastineensa 4.2.2022, jossa se kertoo etsivänsä tapoja mahdollistaa Google Analyticsin käyttö tilanteessa, jossa eurooppalaiset sivustot tarvitsevat lisättyä tietosuojaa. Tiedotteesta voi tulkita, että Google etsii tapoja, joilla tiedon säilytyspaikaksi voisi valita EU:n. Tällainen on jo mahdollista Google Cloudissa.

Google kertoo etsivänsä tapoja mahdollistaa Google Analyticsin käyttö, siten, että tieto säilytetään EU:n alueella.

Tällä hetkellä EU:ssa käsitellään tiedonsiirtoja Yhdysvaltoihin. Komissio on käynnistänyt uuden EU:n ja Yhdysvaltojen välisen tietosuoja-frameworkin ja julkaisi päätösluonnoksen 13.12.2022 (ns. Privacy Shield 2.0).  Vaikka asia on vielä luonnosvaiheessa, niin komission näkemyksen voi jo tulkita vähentäneen riskejä, jotka liittyvät tietojen siirtämiseen Yhdysvaltoihin.

Uudesta valmisteilla olevasta sopimuksesta on kerrottu vähän ja sen valmistumisaikataulu on vielä epäselvä. Sopimusta kutsutaan nimellä “Trans-Atlantic Data Privacy Framework” ja se tulee ennakkotietojen perusteella lisäämään tietosuojaa:

  • Lisätty valvonta Yhdysvaltojen sisällä tiedon hyödyntämisestä
  • Enemmän läpinäkyvyyttä tiedustelutahojen toimintaan
  • Valitusten käsittelyyn yhteinen prosessi

Mitä Google Analyticsiä hyödyntävän tulisi nyt tehdä?

Google Analytics tietoturva

Mitä voit tehdä heti?

  • Siirry käyttämään Google Analyticsin uusinta versiota GA4:aa, jossa IP anonymisointia ei tarvitse käsin lisätä vaan se on oletusarvoisesti päällä.
  • Samoin pidä huolta, että mikäli keräät mitä tahansa tietoa, joka voidaan yhdistää tiettyyn henkilöön (esimerkiksi transaktio ID e-commercessa tai userId), se on hashatty tunnistamattomaksi.
  • Suositeltavaa on myös poistaa Google Analyticsin lupa Googlelle hyödyntää dataa (Account settings > Data sharing options > Google products and services) 
  • Suositeltavaa on  yhtä lailla jättää pois Google Signalsin käyttö (Property > Data collection > Data Collection for Google Signals)

Nämä keinot eivät kaikkien viranomaisten mielestä riittävällä tavalla takaa GA:n tietosuojaa GDPR:n tarkoittamassa laajuudessa. Ne ovat joka tapauksessa ne keinot, jotka GA:n käytössä kannattaa joka tapauksessa hyödyntää sillä välin, kun odotamme mahdollisia muita keinoja Googlelta.

Mitä tehdä tämän lisäksi?

  • Voit seurata mitä asiassa tapahtuu. Me Kivalla pyrimme jakamaan uutiskirjeessämme uusimmat kehitysaskeleet tämän asian osalta. On todennäköistä, että sekä EU-USA-tason sopimusneuvotteluissa tapahtuu edistymistä lähikuukausina samoin kuin Googlen omassa palvelukehityksessä. Hätiköityjä toimia ei kannata tehdä.
  • Pahimman skenaarion mukaan GA:n käyttäminen ei olisi sallittua. Käyttö pitäisi sakon uhalla lopettaa. Tällöin mittausjärjestelmäksi tulisi valita jokin sellainen, jossa datan säilytyspaikaksi voi valita EU:n. GA:lle on vaihtoehtoja ja täydentäviä tapoja kerryttää data.
    – Googlen Server side tracking
    – Räätälöity oma järjestelmä, jossa tiedonkeruu on anonyymiä. Tästä esimerkkinä Kivan toteuttama Kiva Analytics.
    – Muut vaihtoehtoiset mittausjärjestelmät
  • Jokaiseen näistä vaihtoehdoista liittyy tietosuojaviranomaisten päätöksiä tulkiten vähimmäisvaatimuksia::
    – Tiedon säilytys tulee tapahtua EU:n alueella (ainakin ennen uutta mahdollista Privacy Shield -sopimusta).
    – Järjestelmään ei saa kerätä käyttäjää yksilöivää tietoa, jollaiseksi luokitellaan myös IP osoitteet. 

Tiesitkö, että Kiva Analytics on GDPR- säännökset täyttävä analytiikka- sovellus, joka kerää ja tallentaa kävijädataa riippumatta käyttäjän evästeasetuksista. Lue lisää Tilaa Kiva Next -uutiskirje.

Huomaa, että ohjeemme ja neuvomme perustuvat omaan kokemukseen ja näkemykseen. Ehdotonta lainopillista ohjetta on tässä tilanteessa haasteellista saada, sillä tulkinnat ja käytännöt elävät epävarmassa tilanteessa.

Anna Kivan auttaa sinua

Tukea ja apua verkkopalvelujesi evästehallintaan, datan hallintaan ja analytiikan asetuksiin ja tulokselliseen mainontaan voit aina kysyä meiltä!

Lue lisää

Mitä nyt pitäisi tietää Google Analyticsin tietosuojariskeistä?

What Is the Trans-Atlantic Data Privacy Framework? 2022 Guide to the Privacy Shield Replacement

Europe’s Move Against Google Analytics Is Just the Beginning

EDPS sanctions the European Parliament for illegal EU-US data transfers – among other violations

Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply

Tietosuojavaltuutetun tiedote 11.2.2022

Googlen vastine 4.2.2022

Googlen tietosuojatoimet pähkinänkuoressa, nykytilanne

How to legally use Google Analytics in Europe

Jaa artikkeli: Kopioi linkki