Ruosin tietosuojaviranomainen on määrännyt Google Analyticsin käytöstä ensimmäiset sakot EU -alueella.
Google Analyticsin käyttö on ollut jo pidemmän aikaa Eurooppalaisten tietosuojaviranomaisten silmätikkuna. Nyt räpsähtivät ensimmäiset sakot Ruotsalaisille yrityksille tehden Ruotsista ensimmäinen maan, joka sakottaa yrityksiä Google Analyticsin käytöstä.
Ruotsin tietosuojaviranomainen (IMY) teki päätöksen neljää yritystä vastaan ja määräsi 12 miljoonan kruunun (1 miljoonan euron) sakon televiestintäoperaattorille Tele2:lle ja 300 000 kruunun (25 366,93 euron) sakon verkkokauppias CDON:lle Google Analytics analytiikkatyökalun käytöstä verkkosivuillaan.
Tämä on historiallinen tapahtuma, sillä kyseessä on ensimmäinen kerta, kun yrityksille määrätään rahallinen seuraamus Google Analyticsin käytöstä. Sakko luo vahvan ennakkotapauksen tunnun ja muistuttaa yrityksiä tietosuojasääntöjen noudattamisen tärkeydestä. Aiemmin mm. Suomen tietosuojavaltuutetun toimisto on antanut vastaavasta asiasta huomautuksia, käyttökieltoja sekä jo kerättyjen tietojen poistamisvaatimuksia.
Päätös on seurausta NOYB:in (None Of Your Busness) tekemästä valituksesta. NOYB on Itävaltalainen kansalaisjärjestö, jonka tavoitteena on edistää yksityisyyden suojaa ja tietosuojan valvontaa. Järjestö oli tehnyt yhteensä 101 valitusta EU:n ja Yhdysvaltojen tietojensiirroista, ja tämä IMY:n päätös on merkittävä virstanpylväs heidän työlleen. Google Analyticsia käyttävät yritykset ovat rikkoneet EU:n yleistä tietosuoja-asetusta eli GDPR:ää. Rikkomusten ytimessä on se, että Google Analyticsin kautta käyttäjätietoja siirtyy Yhdysvaltoihin ilman taetta siitä, että tietosuoja pysyisi GDPR:n määrittelemällä tasolla.
NOYB:n puheenjohtaja Max Schrems oli tyytyväinen päätöksiin. Hän korosti, että yritysten on kunnioitettava käyttäjien yksityisyyttä ja pyydettävä asianmukaista suostumusta ennen henkilötietojen keräämistä. Schrems kannusti myös muita tietosuojajärjestöjä ja viranomaisia ryhtymään vastaaviin toimiin.
Tämä päätös on hyvä huomioida yrityksissä, jotka käyttävät Google Analyticsia tai vastaavia Yhdysvaltalaisia analytiikkatyökaluja sekä niissä yrityksissä, jotka mainittua työkalua edelleen asiakkailleen tarjoavat. Päätös antaa selkeän viestin siitä, että EU ei epäröi puuttua tietosuojarikkomuksiin ja määrätä seurauksia niille yrityksille, jotka eivät noudata sääntöjä. Yritysten on tärkeää tarkastella tietosuojakäytäntöjään ja varmistaa, että ne noudattavat GDPR:n vaatimuksia.
Vaikka tämä päätös on tehty Ruotsissa, sen vaikutukset ulottuvat laajemmalle. Aiemmat päätökset muissa EU-maissa ovat jo osoittaneet, että Google Analyticsin käyttö rikkoo EU-lainsäädäntöä. Tämä tapaus siis vain vahvistaa aiempia eri EU-maissa tehtyjä päätöksiä.
Päätös heijastaa myös laajempaa keskustelua EU:n ja Yhdysvaltojen välisistä tietojen siirroista. EU:n tuomioistuin on aiemmin todennut EU-US-tietojensiirrot laittomiksi, koska Yhdysvaltojen valvontavaltuudet uhkaavat kansalaisten yksityisyyttä. Vaikka EU ja Yhdysvallat ovat ilmoittaneet uudesta sopimuksesta, joka pyrkii ratkaisemaan nämä ongelmat, näyttää tällä hetkellä todennäköisestä, että EU:n tuomioistuin kumoaa sen samalla tavalla kuin aiemmat vastaavat sopimukset.
Nyt tehdyt päätökset antavat ennakkotapaksellista suuntaa tietosuojan valvonnassa ja korostavat ihmisten yksityisyyden suojelemisen tärkeyttä. Ne muistuttavat yrityksiä noudattamaan tietosuoja-asetusta ja käyttämään analytiikkatyökaluja vastuullisesti ja läpinäkyvästi. Yritysten on aika sisäistää, että tietosuoja on keskeinen osa liiketoimintaa ja käyttäjien luottamuksen rakentamista.