Google Analyticsin tietosuoja puhuttaa ja huolettaa. Olemme Kivalla seuranneet tilannetta tiiviisti ja kirjoittaneet päivittyvää blogiartikkelia aiheesta. Olemme myös keskustelleet tietosuojaan erikoistuneen lakiasiantuntijan kanssa sekä kehittäneet omaa evästeetöntä seurantajärjestelmää. Käyn läpi tässä jutussa tätä kuumaa aihetta eri näkökulmista. Älä epäröi olla meihin yhteydessä, jos haluat jutella lisää!
Verkossa kerättävän tiedon tietosuojan murros
Elämme keskellä digitaalisen seurannan ja – mainonnan teknologioiden murrosta. Erityisesti Euroopassa olemme havahtuneet niiden datavirtojen määriin, joita eri toimijat keräävät, tallentavat ja hyödyntävät usein tavoilla, jotka eivät ole meille läpinäkyviä. Mitä minusta kerätään ja minne? Voidaanko tätä hyödyntää minua vastaan? Taustalta muistamme esim. Cambridge analytican tapauksen, jossa segmentointitietoa käytettiin poliittisen vaikuttamisen välineenä.
Läpinäkyvyyttä luomaan on Euroopassa laadittu GDPR-lainsäädäntö, jonka avulla tiedon keruu ja hyödynnys tulee tehdä mahdollisimman läpinäkyväksi meille käyttäjille ja tarjota mahdollisuus tiedon keruusta kieltäytymiselle ja tietojen poistamiselle.
Isot digijätit kuten Google, Meta (Facebook, Instagram), Apple, TikTok, tulevat muualta kuin Euroopasta ja siksi tietoa eurooppalaisista kuluttajista välittyy noille markkinoille ja niiden lainsäädännön puitteissa toimiviin tietovarastoihin.
EU:n ja Yhdysvaltojen välinen tiedonsiirtosopimus on avain
Tästä mahdollisesta tiedon hyödyntämisestä muiden markkinoiden kuin EU:n piirissä on Google Analyticsin käytön riskeissä kyse. Googlella on rajattu mahdollisuus tutkia dataa, joka tiedonsiirron yhteydessä välittyy Yhdysvaltoihin.
EU-tuomioistuin totesi 2016 EU:n ja Yhdysvaltojen välisen tiedonsiirtosopimuksen Privacy Shieldin riittämättömäksi tietosuojan kannalta päätöksessään 16.7.2020. Tämä päätös vaikuttaa eurooppalaisiin toimijoihin (rekisterinpitäjiä) niin, että on suotavaa valita datan säilytyspaikaksi EU.
Kyseisen vanhan sopimuksen mukaan yhdysvaltalaiset yritykset, kuten Google ja Facebook, saivat varsin vapaasti kerätä käyttäjistä tietoa, kunhan ne listautuvat vuosittain Yhdysvaltain kauppaministeriön Privacy Shield yritysten listalle.
Kaikki tahot eivät EU:n sisälläkään ole yksimielisiä tulkinnoista. Tällä välin, kun puitesopimusta ei ole, Euroopan maat, Suomi mukaanlukien, toimivat yhteistyössä ja omien tietosuojaviranomaistensa johdolla ja nostavat mahdollisesti yksittäisiä syytteitä tietosuoja-asioissa. Huomattavaa on, että samassa tilanteessa ovat kaikki Yhdysvalloissa tai muualla EU:n ulkopuolella dataa säilyttävät yritykset. Toisin sanoen Google Analytics ei suinkaan ole ainoa järjestelmä, joka on hyödyntänyt Privacy Shieldin suomia oikeuksia – joukkoon lukeutuvat myös mm. Amazon, Facebook, Twitter, YouTube, TikTok, Apple ja Microsoft.
Tällä hetkellä EU:ssa käsitellään tiedonsiirtoja Yhdysvaltoihin. Komissio on käynnistänyt uuden EU:n ja Yhdysvaltojen välisen tietosuoja-frameworkin ja julkaisi päätösluonnoksen 13.12.2022 (ns. Privacy Shield 2.0). Vaikka asia on vielä luonnosvaiheessa, niin komission näkemyksen voi jo tulkita vähentäneen riskejä, jotka liittyvät tietojen siirtämiseen Yhdysvaltoihin.
Uudesta valmisteilla olevasta sopimuksesta on kerrottu vähän ja sen käyttöönottoaikaa ei vielä tiedetä. Sopimusta kutsutaan nimellä “Trans-Atlantic Data Privacy Framework” ja se tulee ennakkotietojen perusteella lisäämään tietosuojaa:
- Lisätty valvonta Yhdysvaltojen sisällä tiedon hyödyntämisestä
- Enemmän läpinäkyvyyttä tiedustelutahojen toimintaan
- Valitusten käsittelyyn yhteinen prosessi
Tällä välin, kun puitesopimusta ei ole, Euroopan maiden tietosuojaviranomaiset nostavat mahdollisesti yksittäisiä syytteitä tietosuoja-asioissa.
Helmet-päätös: mitä opittavaa?
Mitä voimme oppia apulaistietosuojavaltuutetun päätöksestä Helmet-palvelun osalta?
Google itse edellyttää, että tietoja kerätään Analyticsiin noudattaen sen käyttöehtoja noudattaen huolellisuutta, eikä se vastaa mahdollisista rikkomuksista. Helmet-sivuston osalta näin on mitä todennäköisimmin tapahtunut. Huomioni kiinnittyy erityisesti seuraaviin laiminlyönteihin tiedon kerääjän osalta:
- Ei ole huolehdittu, että käytössä on lainmukainen ja oikealla tavalla toimiva evästehallinta.
- Ei ole huolehdittu, että palvelussa on soveltuva, ajantasainen ja helposti saavutettava tietosuojaseloste.
- Ei ole huolehdittu siitä, että seurannassa ei kerätä yksilöivää tietoa. Valvotaan kerättävän datan laatua ja varmistetaan, että se ei sisällä PII dataa. Sivuosoitteiden mukana oli analytiikkaan kertynyt tietoa hakuparametreistä, jotka voivat pahimmassa tapauksessa paljastaa käyttäjästä yksilöivää tietoa.
Nämä yllämainitut seikat ovat GDPR-lain mukaan pakottavia velvoitteita kaikissa mittausjärjestelmässä. Järjestelmää toiseen vaihtamalla näitä asioita ei voi väistää eli ne on pidettävä joka tapauksessa kunnossa oli data missä hyvänsä.
Mitä vaihtoehtoja minulla on Google Analyticsin käyttäjänä?
1.Jatkat Google Analyticsin käyttöä, mutta teet parhaasi sen riskien tunnistamiseksi ja hallitsemiseksi.
- Otat käyttöön Google Analytics 4 version mahdollisimman pian. Siinä on lisätty tietosuojan hallittavuutta. Sekään ei kuitenkaan poista EU-USA tiedonsiirtoriskiä kokonaan.
- Odotat rauhallisesti tiedonsiirtosopimuksen tuomaa ratkaisua.
2. Koska Google Analyticsin käyttöön liittyy kuitenkin riskejä, voit toki tehdä mittausstrategiaasi muutoksia. Tällöin mittausjärjestelmäksi tulisi valita jokin sellainen, jossa datan säilytyspaikaksi voi valita EU:n. GA:lle on vaihtoehtoja ja täydentäviä tapoja kerryttää data.
3. Rakennat palvelinpuolen seurannan Googlen Server side tracking – ratkaisulla. Tarvitset ohjelmointiresursseja, sillä seuranta pitää rakentaa uusiksi. Huomaa, että tiedonkeruuta koskevia GDPR-vaatimuksia evästehallinnasta jne. ei ole eettisesti kestävää ohittaa piilossa tapahtuvalla tiedonkeruulla.
4. Siirryt käyttämään täysin räätälöityä mittausjärjestelmää, jossa tiedonkeruu on anonyymiä. Tästä esimerkkinä Kivan toteuttama Kiva Analytics.
5. Siirryt käyttämään muuta vaihtoehtoista mittausjärjestelmää, joiden käyttöä tuemme myös. Huomaa kuitenkin, että niiden käyttöönotto vie resursseja, kun koko mittausjärjestelmä integraatioineen vaihdetaan.
Yhtenä vaihtoehtona on seurantatiedon keruusta luopuminen kokonaan. Tämä on toki radikaalia ja vie sinut takaisin mutu-tuntumalla johtamiseen.
Anna Kivan auttaa sinua
Tukea ja apua verkkopalvelujesi evästehallintaan, datan hallintaan ja analytiikan asetuksiin sekä tulokselliseen mainontaan voit aina kysyä meiltä.