Tietosuojaviranomainen puuttui Google Analyticsin käyttöön nyt myös Suomessa
Timo Salminen
•
29
Apulaistietosuojavaltuutettu antoi tammikuussa 2023 pääkaupunkiseudun kaupungeille huomautuksen Helmet-kirjastojen verkkosivuilla käytetyistä seurantateknologioista ja erityisesti Google Analyticsin sekä Google Tag Managerin hyödyntämisestä. Tässä kirjoituksessa arvioimme viranomaispäätöksen vaikutuksia.
Jännittävä kotimainen juonenkäänne monivaiheisessa EU-tarinassa
Olemme seuranneet Karhulla on asiaa -blogissa mielenkiinnolla Google Analyticsin ja muiden USA-lähtöisten teknologioiden tietosuojahaasteita sen jälkeen, kun EU:n tietosuoja-asetus GDPR tuli voimaan. Löydät jutut kootusti tästä.
Eri EU-maiden tietosuojaviranomaiset ovat viimeisen vuoden aikana julkistaneet Google Analyticsin käyttöä kritisoivia päätöksiä. Ensimmäinen päätös saatiin Itävallasta tammikuussa 2022. Sittemmin myös Ranskan ja Tanskan viranomaiset ovat asettuneet Analyticsin tielle poikkiteloin. Tanskan päätös oli ensimmäinen Pohjoismaissa ja ajoittui syyskuulle 2022.
Suomen tietosuojaviranomainen on liittynyt samaan Google-kriittiseen joukkoon Itävallan, Ranskan ja Tanskan kollegoidensa kanssa.
Tuore apulaistietosuojavaltuutetun ratkaisu on ensimmäinen suora kotimainen viranomaiskannanotto Google Analyticsin käyttöä vastaan. Se tosin on huomioitava, että tietosuojavaltuutetun toimiston julkaisema polveileva 13-sivuinen päätös ei keskity vain Analyticsiin, vaan nostaa esiin monenlaisia muitakin tietosuojanäkökohtia Helmet-sivustoilta ja aiheellisia yleisen tason huolia verkkosivujen tietosuojasta.
Tietosuoja ja tietoturva: Lue lisää
Kritiikin kärjessä Google Analytics ja tiedonsiirto Yhdysvaltoihin
Tietosuojaviranomainen näkee erityisen ongelmallisena sen, että Google Analyticsillä kerätään kävijöistä dataa, joka voi päätyä Yhdysvaltoihin. Lainsäädäntö USA:ssa mahdollistaa tiedusteluviranomaisten pääsyn sikäläisten teknologiayhtiöiden keräämään henkilödataan. Tämä yhdistelmä on GDPR:n näkökulmasta mahdoton hyväksyä. Tähän on vedottu kaikissa EU-maista saaduissa Analytics-kriittisissä viranomaispäätöksissä.
Sama ongelma koskee myös muita yhdysvaltalaisten yritysten tarjoamia digitaalisia palveluita EU:ssa, mutta Google Analytics on noussut nykyisessä tietosuojakeskustelussa suurimpaan rooliin.
Puuttuva palanen: Privacy Shield
Apulaistietosuojavaltuutettu nostaa ratkaisunsa keskeiseksi perusteeksi sen, että EU-tuomioistuin kesällä 2020 kaatoi EU:n ja Yhdysvaltain välistä henkilödatan siirtoa suojanneen Privacy Shield -järjestelyn.
Tilanteen tekee erityisen mielenkiintoiseksi se, että Privacy Shield tekee parhaillaan paluuta. Mikäli prosessi etenee sujuvasti, järjestely voidaan saada uudelleen voimaan jo lähikuukausien aikana. USA:n presidentin hallinto julkaisi uudesta Privacy Shieldistä ehdotuksen lokakuussa 2022 ja joulukuussa 2022 EU-komissio antoi ehdotukselle alustavaa vihreää valoa. Kerroimme blogissamme uuden Privacy Shieldin sisällöstä ja vaikutuksista lokakuussa. Prosessin etenemisestä komissiossa uutisoi TechCrunch ja erinäiset muut uutispalvelut joulun 2022 alla.
Uusi Privacy Shield voi parhaimmillaan tuoda nopeankin helpotuksen yhdysvaltalaisten IT-jättien GDPR-ongelmiin
Mikäli Privacy Shield saadaan uudelleen suojaamaan EU-kansalaisten henkilötietoja ei-toivotulta käytöltä USA:ssa, ratkeaako myös Google Analyticin ja muiden amerikkalaisteknologioiden käyttöä koskeva tietosuojaongelma? Tätä ei vielä tiedetä, mutta näemme entistäkin toivottavampana sen, että Privacy Shieldiä viedään kohti maalia.
Evästeet mainittu: vääränlainen toimintaperiaate sai moitteet
Tuoreessa viranomaispäätöksessä Helmetiä nuhdellaan myös siitä, että sivustot keräävät henkilödataa evästeisiin perustuen jo ennen kuin kävijä on antanut siihen lupaa. Tämä on selkeä epäkohta ja vastoin Liikenne- ja viestintävirasto Traficomin syyskuussa 2021 tekemää evästelinjausta, jota myös analysoimme tuoreeltaan blogissamme.
Kävijän selaimeen saa asettaa muita kuin sivuston toiminnan kannalta välttämättömiä evästeitä vasta, kun kävijä antaa sille hyväksyntänsä. Traficomin linjauksen seurauksena suomalaisille verkkosivuille on viimeisen 1,5 vuoden aikana ilmestynyt evästehyväksyntäruutuja kuin sieniä sateella.
Välikevennyksenä todettakoon, että mikäli Helmetin verkkosivutiimi olisi lukenut blogiimme kootut ohjeet evästehyväksyntäruudun oikeaoppisesta toteutuksesta, ainakin tämä osa viranomaiskritiikistä olisi vältetty.
Odotettavissa lämpenevää kiinnostusta vaihtoehtoisiin analytiikkatuotteisiin
Mitä apulaistietosuojavaltuutetun tuoreesta päätöksestä seuraa? Emme usko, että se heti mullistaa verkkosivujen analytiikan käyttötapoja Suomessa. Se on kuitenkin selvää, että yhä useampi organisaatio tarkastelee tekniikoita ja käytäntöjä, joilla heidän verkkosivujensa kävijöitä seurataan. Viranomaispäätöksessä nostetaan julkisen sektorin verkkosivustot erityiseksi huomion kohteeksi, mutta päätöksestä syntyvät paineaallot tunnetaan nopeasti myös yrityksissä.
Matomo on nyt Suomessakin monien huulilla. Yhä useampi organisaatio hakee analytiikkaratkaisua, joka kunnoittaa kävijöiden tietosuojaa.
Arvioimme, että yhä useampi verkkosivuston omistaja kiinnostuu lähitulevaisuudessa korvaamaan Google Analyticsin vaihtoehtoisella analytiikkatuotteella, joka kunnioittaa paremmin kävijöiden tietosuojaa. Apulaistietosuojavaltuutettu mainitsee kannanotossaan myönteisessä sävyssä Matomo Analytics -tuotteen. Helmet-kirjastojen todetaan sivustoillaan jo siirtyneen siihen. Kirjastot ovat myös kertoneet luopuvansa Google Analyticsin käytöstä.
Kerroimme aiemmin blogissamme Matomo Analyticsistä ja olemme sittemmin tehneet sen käyttöönottoja useiden asiakkaidemme sivustoille. Kristallipallossamme näkyy runsaasti lisää samanlaisia töitä tuleville kuukausille.
Karhun blogi ja uutiskirje jatkavat tietosuojatrillerin seurantaa
Jatkamme tulevaisuudessakin innolla verkkosivujen tietosuojaa koskevien viranomaisratkaisujen ja markkinakäänteiden seurantaa blogissamme. Kun tilaat Karhulla on asiaa -uutiskirjeemme alla näkyvällä lomakkeella, pysyt uusimmista käänteistä ajan tasalla.
