Useat eurooppalaiset tietosuojaviranomaiset, viimeisimpänä Ranskan tietosuojaviranomainen CNIL, ovat katsoneet Google Analyticsin käytön rikkovan Euroopan unionin yleistä tietosuoja-asetusta (GDPR). Google käsittelee Yhdysvalloissa IP-osoitteita ja muita tunnisteita, jotka voidaan katsoa henkilötiedoiksi. Koska Yhdysvallat on maa, jossa ei ole eurooppalaisittain ajateltuna riittävää tietosuojan tasoa, eikä Google ole ottanut käyttöön riittäviä lisäsuojatoimia, ovat tietojensiirrot ja siten myös Google Analyticsin käyttö katsottu laittomaksi. Myös Suomen tietosuojavaltuutettu on uutisoinut asiasta.
Google Analytics lienee maailman käytetyin verkkoanalytiikkatyökalu, joten ratkaisut aiheuttavat päänvaivaa monelle. Ratkaisuksi on esitetty muun muassa IP-osoitteen anonymisointia. Valitettavasti se ei kuitenkaan tee Google Analyticsin käyttöä riskittömäksi, sillä anonymisointi tapahtuu vasta sen jälkeen, kun IP-osoite on ensin siirtynyt kokonaisena Googlelle. IP-osoitteen anonymisointi ei myöskään tee datasta anonyymia, jos mukana on muita tunnisteita, joilla voidaan yksilöidä luonnollinen henkilö.
Vaikka toimenpide ei riskejä poistaisikaan, niin kaikki yksityisyydensuojaa parantavat asetukset on syytä ottaa käyttöön, jos Google Analyticsin käyttöä aikoo jatkaa. Näitä ovat IP-anonymisoinnin lisäksi muun muassa:
varmistus siitä, ettei Googlelle sen ehtojen vastaisesti lähetetä tietoja, joilla käyttäjä voidaan henkilökohtaisesti tunnistaa (personally identifiable information, "PII");
asianmukaisen evästesuostumustyökalun käyttöönotto ja evästeiden asettaminen vasta sen jälkeen, kun käyttäjän suostumus on saatu;
uusimman tietojenkäsittelysopimuksen hyväksyminen vakiosopimuslausekkeineen (sopijakumppanina Google Ireland Limited yhdysvaltalaisen Google LLC:n sijaan); ja
asetetut rajoitukset tiedon jakamiseen (esim. data sharing -asetus pois päältä).
On myös hyvä harkita teknisesti mutkikkaampia toimenpiteitä, kuten ns. server side taggingiä, jossa lähetetään ensin data sivuston palvelimelle ja vasta sen jälkeen Google Analyticsille, mahdollistaen se, että voidaan kontrolloida Googlelle lähetettävää tietoa, esimerkiksi poistaa IP-osoitteet.
Kyse muustakin kuin Google Analyticsista
Google Analyticsiin liittyvät päätökset ovat jatkoa ns. Schrems II -ratkaisulle, jossa Euroopan unionin tuomioistuin kumosi EU:n ja USA:n välisen henkilötietojen tiedonsiirtomekanismin, ns. Privacy Shieldin, ja kyseenalaisti henkilötietojen siirrot Yhdysvaltoihin sen johdosta, että maan tiedusteluviranomaisilla on paikallisen lainsäädännön nojalla hyvin laajat tiedonsaantioikeudet. Olemme kertoneet ratkaisusta aiemmissa kirjoituksissamme, seuranneet viranomaisten suosituksia tiedonsiirtoihin liittyen sekä avustaneet asiakkaitamme uusien vakiosopimuslausekkeiden käyttöönotossa.
Käytännön havaintomme kuitenkin on se, että tiedonsiirrot ja niiden arviointi koetaan yrityksissä hyvin hankaliksi ja toimenpiteet ovat jääneet ainakin osin toteuttamatta. Tätä havaintoa vahvistaa se, että esimerkiksi juuri Google Analytics on edelleen laajalti käytössä, vaikka jo syksyn 2020 viranomaissuositukset puhuivat sitä vastaan, että dataa käsiteltäisiin selkokielisenä Yhdysvalloissa. Syitä toimenpiteiden puuttumisille on varmasti lukuisia – ei vähäisimpänä se, että yritykset kokevat, että transatlanttisiin tietovirtoihin tulisi löytää ratkaisu valtioiden, ei yritysten välillä. Tätä hakee myös Google.
Kansainvälisten tiedonsiirtojen arvioinnilta ei voi välttyä
Koettiinpa kansainväliset tiedonsiirrot kuinka hankaliksi tahansa, vain hyvin harva yritys voi välttyä niiden analysoinnilta. Google Analyticsin lisäksi lähes kaikki käyttävät jonkinlaista pilvipalvelua esimerkiksi sähköpostia tai asiakirjojen tallentamista varten. Näiden käyttö tyypillisesti johtaa siihen, että tietoihin voi olla pääsy EU/ETA-alueen ulkopuolelta, vaikka asiakas olisikin valinnut palvelinkeskuksen Euroopasta. Näin ollen lähes kaikkien yritysten tulee kartoittaa ja dokumentoida kansainväliset tietovirrat, ottaa käyttöön uudet vakiosopimuslausekkeet ja tarvittaessa täydentää niitä lisäsuojakeinoilla sekä dokumentoida tiedonsiirtoihin liittyvät riskiarviot. Jos arviossa päädytään siihen, ettei vakiosopimuslausekkeet ja mahdolliset täydentävät suojakeinot ole riittäviä, tiedonsiirrot tulisi lopettaa.
Esimerkiksi Google Analyticsia koskevassa riskiarviossa kannattaa muun muassa:
dokumentoida tehdyt toimenpiteet (ks. ensimmäinen kohta);
verrata omaa toimintaa ratkaisuiden kohteena olevien verkkosivustojen toimintaan (ratkaisuiden kohteena olleet sivustot eivät kaikilta osin olleet toteuttaneet ensimmäisen kohdan toimenpiteitä); ja
arvioida, mikä painoarvo on esimerkiksi sillä, että Googlen ilmoituksen mukaan Yhdysvaltain tiedusteluviranomaiset eivät koskaan ole esittäneet Google Analyticsia koskevia tietopyyntöjä.
Realismia on, että kaikki eivät lopeta tiedonsiirtoja Yhdysvaltoihin, vaikka riskiarvio antaisi siihen aihetta. Vaikka yritys lopulta päättäisi jättää esimerkiksi Google Analyticsin käyttöön, niin edellä mainittuja toimenpiteitä, eli teknisiä ja sopimuksellisia muutoksia sekä riskiarvion dokumentointia, tekemällä voi täyttää tietosuoja-asetuksen osoitusvelvollisuutta ja jäädä hieman rauhallisemmin katsomaan, miten ratkaisu- ja markkinakäytäntö sekä Googlen lisäkontrollit kehittyvät.
Nyt, tuumasta toimeen. Apua ja lisätietoja saat:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.