11.2.2022 Euroopan tietosuojaviranomaiset toteisivat Google Analyticsin käytön verkkosivuilla tietosuojalainsäädännön vastaiseksi. Mitä tämä tarkoittaa käytännössä? Onko Google Analytics nyt laiton? Onko yrityksien välittömästi poistettava Google Analyticsin seurantatunnus nettisivuiltaan? Lukaise tämä artikkeli, niin olet kärryillä mitä tapahtuu ja kuinka sinun tulee toimia, jos olet Google Analyticsin käyttäjä.
Tilanne on seuraava:
- Yhdysvalloissa laki sallii valtiolle pääsyn kaikkien amerikkalaisten yritysten dataan.
- EU:n tietolainsäädäntö ei hyväksy tätä. GDPR-asetuksen mukaan dataa ei saa siirtää alueelle, jossa asetus ei ole voimassa (eli EU-alueen ulkopuolelle).
- Google Analytics kerää henkilötietoja ja luonnollisesti data siirtyy EU-alueen ulkopuolelle Yhdysvaltoihin.
Jos pohdimme kokonaisuutta, samassa veneessä ovat Googlen lisäksi muutkin amerikkalaiset softat tai softat, jotka pyörivät amerikkalaisissa konesaleissa, kuten Microsoft, Hubspot, Pipedrive ym. yrityksissä yleisesti käytössä olevat pilvipohjaiset ohjelmat. Kaikki näistä ohjelmista keräävät tavalla tai toisella henkilötietoja, kuten IP-osoitteita, nimiä ja sähköpostiosoitteita, jotka siirtyvät Yhdysvaltoihin ja näin eivät vastaa tietosuojalain vaatimuksiin, vaikka tietosuojasivuillaan näin väittävätkin. Google Analytics on nyt vain noussut ensimmäisenä jättimäisenä datan käsittelijänä GDPR-asetuksen silmätikuksi. Suomessa Google Analytics on myös TSV:n 17.01.2023 perusteella julistettu laittomaksi, kuten aiemmin esimerkiksi Itävallassa ja Ranskassa. Kyseisen ohjelman käyttämisen on todettu rikkovan EU:n tietosuojalakia. Tietosuojavaltuutetun toimisto antoi 17.01.2023 päätöksen PK-seudun kirjastoille, jossa se kielsi GA:n käytön ja määräsi jo kerätyt henkilötiedot poistettavaksi. Jos yrityksesi viestii tietosuojavastuusta ja 100% GDPR-kelpoisuudesta, tiedät varmasti itsekin vastauksen siihen, kannattaako Google Analyticsin tilalle metsästää uusi Eurooppalainen analytiikkaohjelma.
Onko tilanne mieluinen? Ei tietenkään. Mutta onko tässä kaikessa järkeä? Se jää sinun päätettäväksesi. Henkilötietosi voivat huomaamattasi kulkea digitaalisesti usean eri organisaation läpi. GDPR-asetus antaa suojan sinun henkilötiedoillesi ja keinoja hallita tietojesi käsittelyä tässä digitalisoituneessa maailmassa. Lain tarkoitus ei ole tehdä huvikseen elämästä hankalaa, vaan sen tarkoitus on suojata ihmisten tietoja ja niiden joutumista verkkorikollisuuden kohteeksi tai muuten vain käsiin, joihin ne eivät kuulu.
Tietosuojalaki on suhteellisen tuore laki, joka laadittiin digitalisaation seurauksena. On luonnollista, että sitä kehitetään toimintaympäristöönsä sopivammaksi ja sen rajoja etsitään kansainvälisellä tasolla aktiivisesti. Rattaat pyörivät jatkuvasti, jotta löytyisi yhteinen ja turvallinen tapa toimia. Sillä välin meidän yrittäjien ja yrityspäättäjien tulee pitää hatusta kiinni, seurata tilannetta aktiivisesti ja yrittää parhaamme mukaan taipua tietosuojalain asettamiin vaatimuksiin. Pelkästään Google Analyticsin vaihtaminen eurooppalaiseen analytiikkajärjestelmään ei ole lopulta kovin suuri juttu. Usein datan saa siirrettyä Analyticsista uuteen järjestelmään mukana ja siirto ei tarkoita sitä, että yrityksesi ei voisi tehdä hakukoneoptimointia tai Google Ads-mainontaa ja hyötyä Googlen tuomasta verkkosivuliikenteestä.
Seuraa Tietosuojakeskus.fi sivua! Me pidämme sinut ajan tasalla siitä, mitä tietosuojaviranomainen päättää tulevaisuudessa Google Analyticsista.