Google Analytics ja tietosuoja – GA4 on laillinen ja hyväksytty analytiikan työkalu
POHDITUTTAAKO GOOGLE ANALYTICS JA TIETOSUOJA- SEKÄ GDPR-ASIAT? TÄSSÄ TIUKKA TIETOPAKETTI AIHEESTA!
Avainsanat:
Mikä on Google Analyticsin juridinen asema?
Google Analyticsiin, kuten muidenkin yhdysvaltalaisten palveluiden käyttöön on liittynyt juridisia haasteita, jotka ovat herättäneet paljon keskustelua viime vuosina.
Keskeisimpänä ongelmana on ollut henkilötietojen siirtäminen yhdysvaltalaisille yrityksille ja USA:n tiedusteluviranomaisten teoreettinen pääsy tietoihin. Paljon puhuttaneet haasteet ratkesivat Euroopan komission päätöksen myötä heinäkuussa 2023.
Tämän päätöksen myötä Google Analytics ja muut yhdysvaltaiset palvelut ovat laillisia ja hyväksyttäviä työkaluja käytettäviksi.
Euroopan komission 10.7.2023 julkaisemaan päätökseen voit tutustua tarkemmin osoitteessa: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Keskustelua herättäneen kokonaisuuden ja taustan hahmottamiseen liittyy kolme tärkeää asiaa.
- GDPR ja tietosuoja-asetuksen voimaantulo
- Henkilötiedon laajentunut määritelmä
- Henkilötietojen siirtäminen EU-alueen ulkopuolelle
1. GDPR on sellaisenaan voimassa kaikissa EU-jäsenmaissa
EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan vuonna 2018 kaikissa EU-maissa. GDPR:n avulla kaikkiin EU-maihin luotiin yhtenäiset käytännöt henkilötietojen käsittelyyn liittyvissä kysymyksissä. Asetukset ovat sellaisenaan lainvoimaisia kaikissa EU-jäsenmaissa, eivätkä maat voi niitä itse soveltaa.
2. Henkilötieto-käsitteen laajentunut määritelmä
Vuonna 2018 GDPR:n voimaantulon myötä ”henkilötieto”-käsite laajeni merkittävästi. Käytännössä henkilötiedoksi määritellään mikä tahansa tieto, joka voidaan edes teoriassa yhdistää jonkin tietolähteen kautta yksittäiseen henkilöön.
Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Yllä olevan määritelmän perusteella myös esimerkiksi Google Analyticsin tallentama evästeiden tunnistetieto tai IP-osoite lasketaan henkilötiedoksi. Kyse ei siis ole siitä, kerätäänkö Google Analyticsiin nimiä, sähköpostiosoitteita tai muita perinteisemmin henkilötiedoksi katsottavia tietoja, vaan jo pelkästään käyttäjien laitteisiin tallennetut yksilöivät evästetiedot lasketaan itsessään henkilötiedoksi.
Mikäli Google Analytics kerää tietoja verkkosivuilla, on keräämiseen kysyttävä käyttäjän lupa evästetietoilmoituksella. Evästetietoilmoituksessa käyttäjän on voitava yksilöidä, mitä tietoja hänestä saa kerätä.
3. Henkilötietojen siirtäminen EU-alueen ulkopuolelle
Henkilötietojen siirtämisestä EU-alueen ulkopuolelle on erilliset säädökset. Tietojen siirtäminen on mahdollista vain, jos voidaan varmistaa, että kolmannessa maassa varmistetaan riittävä tietosuojan taso. Jos maasta, jonne tietoja siirretään, ei ole tällaista komission päätöstä, tietojen siirtäminen voidaan toteuttaa vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä on toteuttanut riittävät suojatoimet tietojen siirtämiselle.
Yhdysvaltojen ja EU:n välillä oli aiemmin voimassa Privacy Shield -järjestely, joka on mahdollistanut tietojen siirtämisen Yhdysvaltoihin ja yhdysvaltalaisille yrityksille. EU-tuomioistuin kuitenkin kumosi päätöksen heinäkuussa 2020 Privacy Shieldin tarjoamasta tietosuojan riittävyydestä. Päätöksen taustalla oli Schrems II -tapaus, jossa tietosuoja-aktivisti Max Schrems ja hänen perustamansa järjestö NOYB tekivät valituksia Google Analyticsin tietosuojan riittämättömyydestä.
EU-tuomioistuimen päätökseen voit tutustua tarkemmin osoitteessa:
https://tietosuoja.fi/-/eu-tuomioistuin-kumosi-paatoksen-privacy-shieldin-tarjoaman-tietosuojan-riittavyydesta
Tämän jälkeen henkilötietojen siirtäminen Yhdysvaltoihin oli käytännössä laitonta, ennen kuin Euroopan komissio hyväksyi 10.7.2023 uuden EU:n ja USA:n tietosuojakehyksen (EU-U.S. Data Privacy Framework), joka mahdollistaa henkilötietojen siirtymisen yhdysvaltaisille yrityksille.
Euroopan komission 10.7.2023 julkaisemaan päätökseen voit tutustua tarkemmin osoitteessa: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Summa summarum:
Google Analyticsia ei ole tarve vaihtaa, vaan se on täysin laillinen ja hyväksytty analytiikan työkalu jatkossakin.
Napakat vinkit Google Analyticsin tietosuoja-asioihin liittyen
Google on pyrkinyt vastaamaan lisääntyneisiin tietosuojavaatimuksiin tuomalla uusimpaan GA-versioonsa lisättyjä valintoja. Jo aiemmin on ollut mahdollista tehdä tili-tasolla valintoja, mutta nyt myös property-tasolla on joitain mahdollisuuksia vaikuttaa tiedonkeruuseen.
Google Analytics -tilin omistajana voit vaikuttaa monella tavalla tiedonkeruun tietosuojaan.
- Tutustu Google Analytics -tilin Admin-puolelta löytyviin tietojenkäsittelyehtoihin ja hyväksy DPA (Data Processing Agreement). Vakiosopimuslausekkeet (SCC:t) ovat Googlen tietojenkäsittelysopimuksessa mukana.
- Kannattaa myös tarkistaa, että olet hyväksynyt viimeisimmät päivitetyt ehdot.
- Nimeä organisaatiostasi tietosuojavastuulliset.
- Lue lisää aiheesta Googlen ohjeartikkelista
Haluatko kuulla lisää?
Ota yhteyttä Oddyn ammattilaisiin.