Onko Google Analytics 4 laiton? Ei ole – ja tässä syyt miksi

Google Analyticsin laillisuudesta on ollut jo pidempään kädenvääntöä ja epäselvyyttä, mutta asia ratkottiin heinäkuussa 2023 Euroopan komission toimesta: Google Analytics 4 on lähtökohtaisesti laillinen EU:ssa. Mutta miten tähän päädyttiin ja miten pidät huolen, että myös käytät työkalua lain mukaisesti?

Google Analyticsin käyttö on jo pitkään herättänyt keskustelua Suomessa niin tietosuojavaltuutetun kuin markkinoidenkin toimesta. Ongelman juurisyitä on ollut datan tallentaminen EU:n ulkopuolelle, mikä on aiheuttanut harmaita hiuksia käyttäjien tietosuojan osalta.

Sukelletaanpa aluksi hieman lähihistoriaan ja siihen, miten lainsäädäntö on vuosien saatossa muuttunut. Skippaa suoraan tiivistelmään tästä.

Jo aikana ennen GDPR:ää EU:lla oli Yhdysvaltojen kanssa solmittu erillinen framework-sopimus, jossa otettiin kantaa tiedonsiirtoon ja käyttäjien tietosuojaan, ja johon yhdysvaltalaiset yritykset pystyivät sitoutumaan varmistaakseen Euroopan komission silmissä riittävän tietosuojan tason.

Vuonna 2016 päivänvalon nähnyt GDPR-lainsäädäntö luotiin turvaamaan EU-kansalaisten yksityisyydensuojaa. Siinä on aiempaa tarkemmin määritelty muun muassa käyttäjän oikeudet omien tietojensa hallintaan ja poistoon.

GDPR:ssä määritetään, että jos tietoa siirretään, pitää huolehtia riittävistä suojaustoimenpiteistä ja järjestelyistä, joilla taataan, että tiedon siirtäminen ei poista tai heikennä sellaisia oikeuksia joita meillä EU-kansalaisena on.

Tiedonsiirrot EU-alueen ulkopuolelle koettiin yhtäältä käyttäjien oikeuksien vastaisina, sillä kukaan ei pystynyt takaamaan, että EU-kansalaisten tietoja pystyttäisiin noutamaan takaisin tai poistamaan käyttäjän niin toivoessa, sillä Yhdysvalloissa ei ollut lakipykälää, joka velvoittaisi yritykset toimimaan näin.

Toisaalta pohdittiin onko yhdysvaltalaisten yritysten tiedonkeruu itsessään jo EU:n tietosuojalainsäädännön näkökulmasta laitonta, sillä USA:n lainsäädännön mukaan yritys on pakotettu luovuttamaan dataansa Yhdysvaltain hallinnolle ja tiedustelutoiminnalle näiden niin halutessa.

Päätös ei kumonnut GDPR:n mukaisia vakiosopimuslausekkeita, mutta kiinnitti huomiota siihen, että tiedonsiirron perustelut ja vaikutukset tulisi aina arvioida huolellisesti.

Tästä seurasi dominoefekti, jossa eri maiden tietosuojaviranomaiset totesivat Google Analyticsin yhteydessä tapahtuvan henkilötietojen siirron Yhdysvaltoihin laittomaksi ja sen seurauksena Google Analyticsin käyttö vaadittiin lopettamaan.

Uutta sopimuskehikkoa täydennettiin useampaan eri otteeseen, jotta se vastaisi EU:n lainsäädäntöä. Lokakuussa 2022 USA:n presidentti allekirjoitti asiaa koskevan lain, joka varmistaa EU:n vaatimusten mukaisen tietojen käsittelyn, rajaa tiedon käyttöä ja korjaa siinä Euroopan tuomioistuimen esille nostamat epäkohdat.

Huomioitavaa on se, ettei Google Analytics itsessään palveluna/tuotteena ole ollut laiton, vaan sen yhteydessä tapahtunut henkilötietojen siirtäminen Yhdysvaltoihin ennen Data Privacy Frameworkia.

Erillistä järjestelyä ei silloin siis tarvita, vaan kehikko on riittävä tapa varmistaa GDPR:n mukainen tiedon suojaus. Google ja muut isot yhdysvaltalaiset firmat (kuten Meta) kuuluvat tähän kehikkoon ja noudattavat sitä.

Euroopan komissio ilmoitti tämän vuoden heinäkuussa, että uusi, paranneltu EU-US Data Privacy Framework on nyt riittävä suojaamaan EU-kansalaisten oikeuksia.

Onko Google Analytics sitten itsessään täysin GDPR:n mukainen ja uskaltaako sitä käyttää?

Google Analytics 4 on tuotteena lähtökohtaisesti GDPR:n mukainen. Sen sijaan, Google Universal Analytics ei ole, mikä on osasyy sille miksi siitä on siirrytty pois.

GDPR:n mukainen työkalu ei kuitenkaan takaa sitä, että tiedonkeruu olisi automaattisesti laillista. Myös Matomolla, PiwikProlla, tai millä tahansa muulla työkalulla on mahdollista tehdä GDPR:n vastaista tiedonkeruuta. Tärkeintä onkin oman toiminnan laillisuudesta huolehtiminen, ja että mikä tahansa työkalu onkaan käytössä, sitä käytetään käyttäjien tietosuojasta huolehtien.

On olennaista pitää huoli siitä, että ei toimita tietosuojalainsäädännön vastaisesti. Tässä kirjoituksessa käsitelty henkilötietojen siirtäminen on vain yksi osa tietosuojalainsäädännön noudattamista.

Kannattaa siis pitää mielessä avainsääntö, kun dataa kerätään ja hallinnoidaan: yksilöitävissä olevaa henkilödataa ei saa lähettää Google Analyticsiin. Tämä pitää sisällään nimet, sähköpostiosoitteet, puhelinnumerot, IP-osoitteet jne.

Mikäli henkilötietoja lähettää analytiikkatyökaluunsa ja tästä jää kiinni, joutuu vastuuseen lain silmissä. Tämä on myös Google Analyticsin käyttöehtojen vastaista.

Miten siis pidät huolen, ettei yksilöitävissä olevaa tietoa siirry Google Analyticsiin?

1. Selvennä sisäinen tiedonkeruupolitiikka

Selvennä organisaation sisällä mitä tietoa kerätään, miksi, ja miten sitä hallinnoidaan tietoturvallisesti.

Alkuun kannattaa ottaa tarkasteluun kokonaiskuva: esim. mitä CRM-järjestelmää käytätte ja mitä muita työkaluja teillä on käytössä. Käytössä olevista työkaluista on tärkeää olla olemassa lista: mitä tietoja niihin viedään, mitkä näistä tiedoista luokitellaan henkilötiedoiksi, ja kuinka kauan tietoja säilytetään. On hyvä myös tarkastella yrityksen tiedonkeruupolitiikkaa ainakin digitaalisten kanavien osalta: ainakin verkkosivuston ja hostingin puolelta.

Kun perusasiat on kunnossa, on sen pohjalta helpompi lähteä suunnittelemaan myös analytiikkaa.

2. Muokkaa henkilödataa mahdollisesti sisältävät URL-parametrit

Analytiikasta pystytään takautuvasti tarkistamaan mikäli henkilötietoja löytyy tietojen joukosta. Työkaluja käyttämällä voi etsiä URL-parametrien joukosta mahdollisia henkilötietoja, ja jos niitä löytyy, niitä voidaan poistaa tai muokata siten, että ne ovat tunnistamattomissa. Google Analytics 4:ssä on itsessään sisäänrakennettuna Data redaction-toiminnallisuus, jolla pystyy määrittelemään event- tai URL-tasoisia URL:ien muunnoksia juuri tätä tarkoitusta varten.

3. Anonymisoi kerättävä henkilödata

Yleisiä mahdollisia paikkoja missä sivustokäyttäjän yksilöiviä henkilötietoja voi esiintyä:

• URL:eissa: esim. URL-parametrit lomakkeen lähetyksen yhteydessä tai sisäänkirjautuessa.
  • esimerkki.fi/kirjautunut?firstname=jaska&lastname=jokunen
  • Ratkaisu: parametrit tulisi poistaa kehittäjien toimesta tai ainakin muokata tunnistamattomiksi.
• Eventin, esim. tilauksen tiedoissa voi esiintyä tilaajan sähköposti
  • email:jaska.jokunen@esimerkki.fi
  • Ratkaisu: tällaista tietoa ei saisi lähettää Google Analyticsiin eikä muihinkaan analytiikkatyökaluihin. Joihinkin markkinoinnin alustoihin kuten Google Ads, Meta (Facebook) tai vaikkapa Pinterest voidaan haluta hashattu, eli salattu versio tunnisteesta kuten sähköpostiosoite.

4. IP-osoitteiden anonymisointi

Google Analytics 4:ssa on edeltäjäänsä Universal Analyticsiä enemmän kontrollia anonymisoinnissa. Google Analytics 4 anonymisoi IP-osoitteen automaattisesti, ja tämä anonymisointi tapahtuu EU-alueen sisällä ennen kuin tietoa siirretään minnekään sen ulkopuolelle.

5. Palvelinpuolen tag management (server-side tagging)

Server-side tagging auttaa kontrolloimaan analytiikka- ja mainosjärjestelmille lähetettävän tiedon määrää. Mikäli käyttäjien IP-osoitteiden tai muiden tietojen siirtyminen huolettaa, voidaan näiden tietojen siirtyminen estää server-side taggingilla. Lisäksi se tukee seurantatietojen anonymisointia tai pseudonymisointia palvelimella ennen niiden tallennusta ja lähettämistä esimerkiksi Google Analyticsiin.

Koodit suoritetaan palvelimella (server), parantaen sivuston lataamisaikaa.

Kun koodeja ajetaan käyttäjän selaimessa (client-side), on kontrolli huomattavasti pienempi sen suhteen mitä tietoja analytiikka- tai mainosjärjestelmiin viedään.

6. Evästehallinnan toiminnan varmistaminen

Vaikka evästeet eivät suoranaisesti liity EU:n ja USA:n väliseen sopimukseen, on niiden toiminta hyvä käydä läpi, sillä etenkin kolmansien osapuolten evästeiden yhteydessä henkilötietoja saattaa siirtyä EU:n ulkopuolelle näiden evästeiden palveluntarjoajille. Traficomin ohje kannattaa lukea tarkkaan.

Varmista seuraavat asiat evästeiden suhteen:

• Ennen evästeiden (tai näiden kaltaisten) asettamista pyydä käyttäjältä vapaaehtoinen ja selkeä suostumus. Poikkeuksena tietenkin sivuston toiminnan kannalta välttämättömät evästeet, kuten muun muassa kirjautumisen muistaminen. Huomaathan, että analytiikkaan liittyvät evästeet eivät kuulu välttämättömiin eli pakollisiin evästeisiin.
• Varmista, että voit jälkikäteen osoittaa saaneesi käyttäjältä suostumuksen. Yleensä tämä vaatii, että sivuston vierailija toimittaa evästehyväksyntä-ID:n.

Tiivistetysti

Olit sitten julkinen tai yksityinen toimija, EU:n ja Yhdysvaltojen välisen uuden Data Privacy Framework -tiedonsiirtojärjestelyn myötä ei tarvitse enää olla huolissaan, onko Google Analytics 4:n osalta Yhdysvaltoihin tapahtuva henkilötietojen siirtäminen laitonta. DPF takaa tiedonsiirron laillisuuden, joskin organisaatioiden on muistettava huolehtia muista tietosuojalainsäädännön mukaisista velvoitteistaan henkilötietoja käsiteltäessä.

Oli käytössä mikä tahansa analytiikkatyökalu, sinun tulee tietää mm. mitä henkilötietoja se tallentaa, kuinka pitkäksi aikaa, ja mille tahoille tietoja mahdollisesti siirtyy. Henkilötietojen käsittelystä on myös kerrottava rekisteröidyille henkilöille esimerkiksi verkkosivustolla nähtävillä olevassa tietosuojaselosteessa.

Mikäli sivustonne analytiikan tai tietosuojan nykytila pohdituttaa, laita meille viestiä niin katsotaan asiat kuntoon!

Artikkelin asiantuntijat:

Panu Ervamaa, CTO, Hion
Niko Karppinen, Web Analytics Lead, Hion
Ville Vainio, osakas ja asianajaja, Applex: Applexin Teknologia & Tietosuoja -praktiikan vetäjänä Ville avustaa kotimaisia ja kansainvälisiä asiakkaita pk-yrityksistä pörssifirmoihin erityisesti tietosuoja- ja teknologiajuridiikan parissa. Ville on sertifioitu tietosuoja-asiantuntija (CIPP/E)