Google Analytics käyttökieltoon Itävallassa
Kuohunta tietosuoja-asioiden ympärillä jatkuu Euroopassa. Joulukuussa 2021 Itävallan tietosuojaviranomainen, Datenschutzbehörde eli DSB, julkaisi päätöksen, jonka mukaan Google Analytics -kävijäseurannan käyttö on EU:n yleisen tietosuoja-asetuksen, eli GDPR:n, vastaista. Näin ollen Euroopan ja maailman ylivoimaisesti suosituinta kävijäseurantaa, Google Analyticsiä, ei tulisi enää käyttää itävaltalaisilla verkkosivustoilla. Päätöksestä uutisoivat mm. Noyb, Wired ja Fortune.
Voit ladata DSB:n päätöksen alkuperäisenä saksankielisenä pdf:nä tai konekäännettynä englanninkielisenä pdf-tiedostona.
Google Analyticsin tietojen siirto USA:han GDPR:n vastaista
Päätös koski NetDoktor-nimistä lääketieteellistä uutispalvelua, joka on hyödyntänyt Google Analyticsiä samaan tapaan kuin miljoonat muutkin verkkosivustot. DSB:n kannanotossa todetaan, että kävijän tietojen tallentaminen Googlen järjestelmään on GDPR:n vastaista, koska tieto siirtyy Euroopan unionin ulkopuolelle, tässä tapauksessa Yhdysvaltoihin, missä yksikään yritys ei voi taata tietojen olevan turvassa tiedusteluviranomaisilta. Ongelmallista on siis Yhdysvaltain tiedustelulainsäädäntö, joka periaatteessa mahdollistaa tiedusteluviranomaisten pääsyn ulkomaisten henkilöiden tietoihin. Tilanne on periaatteessa sama kaikilla verkkosivustoilla, joissa Google Analytics on käytössä.
Myös EU-tasolla vastaavanlainen päätös – taustalla Privacy Shieldin kaatuminen
Hieman Itävallan viranomaispäätöstä ennen myös EU:n tietosuojaviranomainen EDPS teki samansuuntaisen päätöksen. Kohteena oli EU-parlamentin COVID-testausta käsittelevä sivusto, jossa hyödynnetään Google Analyticsiä. Myös EDPS:n päätöksessä todetaan, ettei kävijää koskevan tiedon välittäminen USA:han ole sallittua.
Molempien päätösten taustalla on EU:n ja USA:n välisen Privacy Shield -järjestelmän kaatuminen, josta kerroimme blogissamme lokakuussa 2020. Privacy Shieldin tarkoituksena oli varmistaa henkilötietojen sujuva ja turvallinen siirtäminen EU:n ja USA:n välillä. EU-tuomioistuin totesi, ettei Privacy Shield täytä EU:n tietosuojalainsäädännön vaatimuksia. Siitä lähtien amerikkalaislähtöisten teknologiayritysten henkilödataa käsittelevien palveluiden status Euroopassa on ollut epäselvä. Privacy Shieldin kaatumisen jälkeen esimerkiksi Saksan tietoturvaviranomainen kielsi MailChimp-uutiskirjejärjestelmän käytön.
Suomessa Google Analyticsin käytölle on asetettu uusia rajoituksia
Suomessa Google Analytics on edelleen suosituin verkkosivujen analytiikkatyökalu ja sen käyttö on ainakin toistaiseksi sallittua. Liikenne- ja viestintävirasto, Traficom kuitenkin asetti Analyticsin käytölle merkittäviä uusia rajoituksia.
Suomessa Google Analyticsin käyttö on edelleen sallittua, mutta Traficomin uudet evästelinjaukset asettivat sille rajoituksia.
Syyskuussa 2021 Traficom julkaisi uuden evästeoppaan, jonka perusteella käytännössä kaikilla verkkosivustoilla on pyydettävä kävijän lupa evästeiden käyttöön. Lupa tulee pyytää oppaassa tarkasti määritetyllä tavalla, jonka tuloksena merkittävä osa verkkosivujen kävijöistä jättää luvan antamatta. Google Analytics perustuu evästeiden käyttöön, joten Traficomin uusi linjaus tarkoittaa, että merkittävä osa verkkosivustojen kävijöistä jää sillä tehdyn seurannan ulkopuolelle.
Itävallan ja EU-viranomaisen päätökset eivät vaikuta suoraan Suomeen, mutta ne epäilemättä kiihdyttävät keskustelua siitä, kuinka käyttökelpoinen Google Analytics on jatkossa ja mitkä ovat vaihtoehtoja sille.
Toiveena tietosuojaa paremmin kunnioittava Google Analytics
Lähes kaikki verkkosivustot Suomessa käyttävät Google Analyticsiä ja sinne on kerätty vuosien ajan arvokasta tietoa kävijöistä. Me Karhussa uskomme, että kävijätilastojen kerääminen on käyttäjän etu, koska sivustojen kehittämistä voidaan tehdä järkevästi vain silloin, kun kävijöiden toiminnasta ja kiinnostuksen kohteista saadaan kerättyä luotettavaa dataa. Kävijätilastoja voidaan kuitenkin kerätä kestävällä tavalla vain silloin, kun niiden keräämiseen käytettävä järjestelmä kunnioittaa kävijän tietosuojaa ja eurooppalaista lainsäädäntöä.
Tietosuojaa kunnioittava Google Analytics olisi kaikkien etu – ei vähiten niiden yritysten, jotka ovat vuosien ajan keränneet sinne arvokasta dataa.
On toivottavaa, että Google ottaa vakavasti eri puolilta Eurooppaa kantautuneet vakavat varoitussignaalit ja tekee pikaisesti muutoksia Google Analyticsiin. Tietosuojaa koskevat muutokset ovat välttämättömiä, mikäli Google haluaa analytiikkatuotteensa pysyvän laajassa käytössä EU-alueella. Keskeistä olisi EU-alueen asiakkaiden henkilödatan säilyttäminen Euroopassa. Analytics on työkaluna toimiva ja monipuolinen, joten toivomme että myös tietosuojaominaisuudet kehittyvät nopeasti sille tasolle, mitä Euroopan unionissa tänä päivänä edellytetään.
USA:n lainsäädäntö aiheuttaa ongelmia teknologiayhtiöille
Perimmäisenä ongelmana on Yhdysvaltain tiedustelua ja ulkomaalaisten henkilötietojen säilytystä koskeva lainsäädäntö. Amerikkaiset teknologiayhtiöt eivät sen nojalla voi nykyisin tarjota USA:sta käsin palveluita, joissa henkilötiedot olisivat suojassa GDPR-säännösten vaatimassa muodossa. USA:n lainsäädännön muutokset eivät kuitenkaan tapahdu nopeasti ja digipalveluiden kansainvälisten yleisöjen oikeudet eivät todennäköisesti ole korkealla sikäläisen lainsäätäjän agendalla nykyisessä poliittisessa ilmastossa.
Yhtenä vaihtoehtona on esitetty, että yhdysvaltalaiset teknologiayhtiöt voisivat aloittaa laajamittaisen kumppanuuden eurooppalaisten datakeskuspalveluntarjoajien kanssa siten, että henkilödata olisi eurooppalaisen kumppanin hallussa ja GDPR-säännösten piirissä. Esimerkiksi Google on jo ottanut ensiaskeleita tällä tiellä. Tätä vaihtoehtoa kuvataan mm. Fortunen artikkelissa.
Kävijätilastointiin on päteviä vaihtoehtoja – Matomo herättää kiinnostusta
Google Analytics ei ole ainoa vaihtoehto kävijätilastointijärjestelmäksi verkkosivuille. On useampiakin järjestelmiä, jotka tarjoavat monipuoliset seurantatyökalut ja suhtautuvat vakavasti tietosuojaan.
GDPR- ja tietosuojaominaisuuksilla on erityisesti profiloitunut Matomo Analytics, josta kerroimme hiljattain blogissamme. Matomo on rakennettu alunperin sillä ajatuksella, että kävijän tietosuojaa kunnioitetaan ja kerätty data on tarkoitettu vain sivuston omistajan käyttöön. Matomo myös säilyttää kaiken datan EU-alueella. Matomoa on jo hyödynnetty omilla ja asiakkaidemme sivustoilla ja kokemukset siitä ovat rohkaisevia. Data on laajaa ja monipuolista ja sen kerääminen onnistuu myös kokonaan ilman evästeitä.
Lue blogistamme myös: Google Analyticsin haasteet ja vaihtoehdot
Oma suosikkimme vaihtoehtoisista analytiikkatuotteista on Matomo. Jokaisen yrityksen on kuitenkin syytä arvoida erilaisten analytiikkaratkaisujen vahvuuksia ja haasteita omista lähtökohdistaan.
Edit 26.9.2022: Tanskan tietosuojavirasto katsoo, että Google Analyticsiä ei voida sellaisenaan käyttää laillisesti.
Jos analytiikka-asiat askarruttavat, olemme mielellämme avuksi. Lähetä sähköpostia allekirjoittaneelle tai ole meihin yhteydessä muilla tavoin.
