<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=1570276&amp;fmt=gif">
Skip to content
Ota yhteyttä! >

17.05.2022

Google Analytics & GDPR: missä mennään?

Google Analytics ja sen laillisuus ovat olleet tänä vuonna tapetilla ja herättäneet kysymyksiä EU:n alueella toimivissa yrityksissä. Tämä johtuu aiemmin tänä vuonna julkistetusta Euroopan tietosuojaviranomaisten linjauksesta, jonka mukaan Google Analytics on GDPR:n, eli yleisen tietosuoja-asetuksen vastainen. Mikä Google Analyticsin tilanne on kesän kynnyksellä ja miten palvelua käyttävien yritysten tulisi toimia? 

GDPR ja Google Analytics – tapauksen lyhyt oppimäärä

Googlen ja Euroopan Unionin GDPR-keskustelussa ongelman ytimeksi on muodostunut Google Analyticsin keräämän datan siirtyminen EU:n alueelta Yhdysvaltoihin ja paikallisten tiedusteluviranomaisten pääsy siihen. Lue lisää tapauksen taustoista blogistamme: Google Analytics GDPR:n vastainen?

Google on vastikään viestinyt, että tähän asti Yhdysvaltojen tiedusteluviranomaiset eivät ole vielä koskaan pyytäneet pääsyä tähän eurooppalaiseen dataan. Mahdollisuus siihen on kuitenkin aina olemassa. Googlen lisäksi epävarmuus GDPR-asetuksen ehtojen täyttymisestä koskee myös monia muita kansainvälisiä palveluntarjoajia, kuten Facebookia. Ongelma piilee siinä, että yhdysvaltalainen digitaalinen palvelu/tuote tarkoittaa automaattisesti tiedon siirtymistä EU:n rajojen ulkopuolelle. Myös esimerkiksi se, että yrityksen tarjoama tuki- tai asiakaspalvelu sijaitsee Yhdysvalloissa, lasketaan tietosuojaviranomaisten tulkinnan mukaan tiedon siirtymiseksi.

Miten yrityksen pitäisi nyt toimia?

Tällä hetkellä yrityksen on tärkeää ymmärtää tilanteen tuomat riskit ja haasteet, sillä käytännössä kuka tahansa yksityishenkilö voi nyt valittaa yrityksen tai organisaation nettisivujen tietosuojan riittämättömyydestä Suomen tietosuojaviranomaiselle. Tämä voi johtaa Google Analyticsin keskeyttämismääräykseen sakon uhalla. Tietosuojaan liittyy kuitenkin myös muita osa-alueita kuin analytiikka, ja monen osa-alueen puutteellisuus samanaikaisesti voi antaa lisäpotkua keskeyttämismääräykselle.

Nyt yrityksen olisi hyvä aika keskustella sisäisesti ja kartoittaa, mitkä kaikki yrityksen käytössä olevat palvelut keräävät tietoa käyttäjistään. Aloittakaa vastaamalla seuraaviin kysymyksiin: Mitä muita palveluita Google Analyticsin lisäksi on käytössä, jotka keräävät käyttäjien dataa? Mitä dataa kerätään? Mihin se on tallennettu? Mihin sitä siirretään? Kenelle yrityksen tietoturva kuuluu? Ovatko nettisivujen tietosuojaseloste ja evästebanneri kunnossa?

Tämän kaiken yhteydessä on suositeltavaa kuulla yrityksen lakiasiantuntijaa ja saada hänen näkökulmansa asioihin, erityisesti vaatimukset täyttävän tietosuojaselosteen laatimiseen liittyen. Lisäksi kannattaa kiinnittää huomiota nettisivujen oikeanlaiseen evästehyväksyntään.

Myös Google Analyticsin IP-osoitteiden anonymisointi voi auttaa oikeaan suuntaan. Esimerkiksi Google Analytics 4-versiossa tämä on jo oletusasetuksena. IP-osoitteiden anonymisointi ainoana toimenpiteenä ei välttämättä kuitenkaan ole riittävä, vaan tilanne voi vaatia kokonaisvaltaisempia toimia.

Kuinka ratkaista tilanne analytiikan osalta?

Analytiikkapalveluita käyttäessä, yritys tai organisaatio on itse vastuussa käyttäjän tietosuojasta, eikä palveluntarjoajan (tässä tapauksessa Googlen) tarvitse ottaa vastuuta tilanteessa, jossa yrityksen tietoturvan todetaan olevan riittämätön. Palveluita käytetään siis niin sanotusti omalla vastuulla. Tilanne onkin kaiken kaikkiaan mutkikas, eikä vain yhtä oikeaa ratkaisua ole. Tällä hetkellä suosittelemme yritystä valitsemaan kuitenkin yhden seuraavista vaihtoehdoista:

1) Ottaa käyttöön GA4 ja odottaa Googlen ja Yhdysvaltojen ratkaisuja

Ensimmäinen vaihtoehto on seurata rauhassa tapahtumien kulkua ja ottaa käyttöön Google Analytics 4 (GA4), jossa IP-osoitteet anonymisoidaan oletusarvoisesti. Tällöin seuranta perustuu käyttäjän tapahtumiin, eikä evästeisiin.

Google on antanut ymmärtää, että heillä on suuri intressi pitää eurooppalaiset asiakkaansa ja siksi se onkin jo ilmoittanut luopuvansa vanhasta Universal Analyticsista kokonaan 1.7.2023 mennessä ja korvaavansa sen uudella GA4 versiolla. On hyvä pitää mielessä, että yhdelle sivustolle voi asentaa samanaikaisesti Universal Analyticsin sekä GA4:n, mutta vanhan Universal Analyticsin dataa ei voi siirtää GA4:ään. Uutta analytiikkatietoa GA4:sta saadaan siis vasta sen asennuspäivästä lähtien. Aiempien vuosien Universal Analytics tuloksia voidaan kuitenkin tarkastella lopetuspäivämäärän jälkeen vielä noin 6kk ajan. Spekuloidaan, että Google lisää uuteen GA4-versioon asetuksia ja ominaisuuksia, jotka ratkaisevat nykyiset ongelmat, esimerkiksi maakohtaisten asetusten valinnan.

Maaliskuussa uutisoitiin myös, että EU ja Yhdysvallat olisivat pääpiirteittäin jo päässeet yhteisymmärrykseen maiden välisestä datasiirtosopimuksesta. Uusi Privacy Shield-ratkaisu voisi potentiaalisesti tarjota ratkaisun myös tiedonsiirtoon liittyvään ongelmaan.

Tämä ratkaisuvaihtoehto ei ole kuitenkaan täysin riskitön, sillä GA4:n palvelimet sijaitsevat edelleen Yhdysvalloissa, aivan kuten Universal Analyticsin. Valitessasi ratkaisun 1, suosittelemmekin yhdistämään sen ratkaisun 2 kanssa.

2) Valita palvelupohjainen seuranta eli Server-Side tagging

Kerätty data on mahdollista lähettää ennen Googlea toiselle, EU:n lueella sijaitsevalle palvelimelle, jossa IP-osoitteet voidaan anonymisoida ja data suodattaa. Vasta tämän prosessin jälkeen lopullinen data lähetetään Google Analyticsiin. Tämän vaihtoehto auttaa pitämään tarvittavat tiedot EU:n sisällä, mutta vaatii laajaa teknistä osaamista.

3) Vaihtaa kokonaan toiseen, eurooppalaiseen toimijaan

Google Analytics voidaan myös korvata kokonaisuudessaan toisella analytiikka-alustalla, jonka ylläpito ja omistus on EU:n sisällä. Esimerkiksi Snoobi, joka on käytössä myös Avalonilla, on eurooppalainen analytiikkatyökalu. Snoobin data suomalaisille asiakkaille on varastoitu Suomeen ja sillä on myös suomalainen tuki ja opastus, joten analytiikan keräämää tietoa ei siirry EU:n ulkopuolelle. Siksi tämä ratkaisuvaihtoehto on esitetyistä yksin kaikista riskittömin.

Paljonko tämä kaikki maksaa?

Tilanne vaatii yrityksien kohdalla mahdollisesti ajallista panostusta omien palveluiden kartoittamiseen. Työmäärä, kulut ja toimenpiteet riippuvat paljolti käytössä olevista palveluista, tarvitaanko niiden kohdalla toimenpiteitä, ja jos tarvitaan mihin ratkaisuihin päädytään. Tähän voivat kuulua esimerkiksi mahdollisen uuden analytiikkatyökalun käyttöönottoon liittyvät toimenpiteet. Kuluja voi myös muodostua mahdollisen lakiasiantuntijan ja tietoturva-asiantuntijan konsultoinnista tai palvelupohjaisen seurannan perustamisesta. Ajallinen panostus uusien järjestelmien opetteluun voi myös olla ajankohtaista.

Tilanteen kehittyminen – mikä on vielä epävarmaa?

Google Analyticsin tulevaisuus Euroopassa on vielä jokseenkin pimennossa. Toistaiseksi Google Analyticsin käytön keskeyttämiselle Euroopassa ei ole tarkkoja aikamääreitä tai vaatimuksia. Googlen tahtotila on pitää Google Analytics, ja sen palvelut saatavilla kaikille EU:ssa toimiville yrityksille. Google on viestinyt mahdollisesti tekevänsä muutoksia omiin sopimusehtoihinsa ja lisäävänsä uusia ominaisuuksia GA4-versioon. Tälle ei kuitenkaan ole mitään tarkkaa määriteltyä aikataulua, eikä mitään varmuutta siitä, mitä kaikkea tähän kuuluisi ja riittävätkö nämä toimet.

Vielä on myös epävarmaa, mitä EU:n ja Yhdysvaltojen ratkaisu datansiirtoon ja yksityisyyteen liittyvistä yhteisistä ohjesäännöistä sisältää. Etenkin Google on painottanut tilanteen olevan poliittinen, ja sen näin ollen vaativat poliittisia ratkaisuja. Eli päätöksentekijöiltä nopeita ja selkeitä ratkaisuja yhteisien datansiirtoon liittyvien säädöksien suhteen.

EU:n tietosuojaneuvosto on alustavasti kertonut suhtautuvansa myönteisesti syntyneeseen yksimielisyyteen, joka uudesta EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä on saavutettu maaliskuussa. Ilmoitus uudesta kehyksestä ei kuitenkaan vielä tarkoita, että tieto voisi siirtyä maiden välillä tietoturvallisesti, ja neuvosto onkin viestinyt aikovansa kiinnittää huomiota siihen, miten uusi sopimus muunnetaan konkreettisiksi lainsäädäntöehdotuksiksi. Tietosuojaneuvosto odottaakin pääsevänsä arvioimaan uuden tiedonsiirtoon liittyvän kehyksen yksityiskohtia. Vaikka yksimielisyys onkin siis pääpiirteissään saavutettu, hyväksytty ja lainmukainen datansiirtosopimus maiden välillä ei vielä ole voimassa.

Yhteenvetona

Vaikka poliittinen tilanne aiheen ympärillä on vielä epävarma, yritysten on tärkeä tiedostaa tilanne, reagoida tavalla tai toisella sekä alkaa kartoittaa palveluita, jotka mahdollisesti keräävät tietoa käyttäjistä. Nyt on myös korkea aika hoitaa toimiva ja ehdot täyttävä evästebanneri sekä lainmukainen tietosuojaseloste kuntoon nettisivuille. 

Tilanne elää vielä, ja me Avalonilla seuraamme tiiviisti sen kehitystä ja autamme siihen liittyvissä haasteissa matkan varrella. Otathan siis yhteyttä, jos tarvitset apua ratkaisujen ja seuraavien toimenpiteiden määritykseen liittyen!