Onko Google Analytics GDPR:n vastainen?

Google Analytics on suosituin verkkosivujen ja niiden liikenteen analyysiohjelma. Osa Euroopan tietosuojaviranomaisista on kuitenkin linjannut, että palvelu rikkoo yleiseurooppalaisen tietosuoja-asetuksen GDPR:n ehtoja.

MTKTNG media selvitti, mistä päätöksissä on kyse ja miten se vaikuttaa yrityksiin.

Ranskan ja Itävallan viranomaiset pitävät Google Analytics -ohjelman USA:han siirtämää tietoa GDPR:n vastaisena

Ranskan tietosuojasta vastaava viranomainen CNIL on määrännyt ranskalaisen Google Analytics -seurantaa käyttävän verkkosivuston ylläpitäjän muokkaamaan Google Analytics -ohjelman GDPR:n mukaiseksi kuukauden sisällä tai lopettamaan sen käytön kokonaan. Tämä tapahtui viikko sen jälkeen, kun Itävallan tietosuojaviranomainen (Austrian Data Protection Authority) oli linjannut, että Analyticsin käyttö rikkoo eurooppalaista tietosuoja-asetusta. Asiaa käsiteltiin myös eurooppalaisten tietosuojaviranomaisten välisessä yhteistyössä rajat ylittävässä menettelyssä, jossa Suomen tietosuojavaltuutetun toimisto oli mukana osallistuvana valvontaviranomaisena ja antoi tapaamisesta oman lausuntonsa.

EU ei halua verkkosivujen käyttäjätietoja USA:n turvallisuusviranomaisten käsiin

Kyse on tiedoista, joita Google Analytics -palvelut siirtävät Euroopan ulkopuolelle ja joita USA:n turvallisuusviranomaiset ovat hyödyntäneet. Taustalla on Euroopan tuomioistuimen 2020 tekemä  ”Schrems II” -linjaus. Google on jo rajoittanut tiedon siirtoa, mutta Itävallan ja Ranskan tietosuojasta vastaavat viranomaiset eivät pidä näitä suojauksia riittävän vahvoina ja sellaisina, jotka estäisivät aidosti USA:n turvallisuusviranomaisten pääsyn eurooppalaisten yritysten Google Analytics -tietoihin. Myös eurooppalainen tietoturvayhteisö None of Your Business (NOYB) on jättänyt 101 valitusta ympäri Eurooppaa liittyen Google Analytics -palvelun käyttöön. Nämä valitukset tunnetaan myös valitusten määrän mukaisesti nimellä 101 dalmatialaista.

Vaikutukset yrityksille

Tuoreimmat Ranskan ja Itävallan määräykset voivat tarkoittaa sitä, että Google Analyticsia ja muita Euroopan ulkopuolisia verkkosivupalveluita käyttävät verkkosivustot saattavat tulevaisuudessa rikkoa GDPR-asetuksia. Vastaavia selvityksiä on käynnissä tällä hetkellä mm. Hollannissa ja Tanskassa.

Tähän mennessä Marketing Finlandin tietoon on tullut muutamia tapauksia, joissa yritykset ovat siirtyneet käyttämään eurooppalaisia analytiikkatyökaluja. Nämä yritykset ovat poikkeuksetta olleet Saksassa toimivia.

Tammikuussa Marketing Finlandin kattojärjestö World Federation of Advertisers (WFA), jonka jäsenet edustavat yli 90 % kaikista maailman mainoseuroista, piti aiheesta keskustelutilaisuuden, jonka tarkoitus oli kerätä yhteen mainostajien huolet liittyen USA:laisiin verkkosivustojen seurantajärjestelmiin. Seuraavaksi WFA keskustelee suoraan Googlen kanssa toimista, joita se tulee tekemään Google Analytics -palveluun. CNIL on myös julkaissut hankkeen, jonka tarkoitus on selvittää, mitkä verkkosivustojen seurantajärjestelmät täyttävät GDPR:n asetukset. Marketing Finland seuraa hankkeen etenemistä ja tiedottaa siitä jäsenilleen.

Uutiskirjeen tilaajana saat markkinoinnin ja viestinnän uutiset sekä uusimman MRKTNG-lehden ensimmäisten joukossa. Saat myös viikottain koulutuksistamme kerättyjä vinkkejä käyttöösi sekä tietoa järjestämistämme koulutuksista.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

18 − six =