Verkkosivujen kävijäseurantaan on käytetty jo vuosia Googlen tekemää ilmaista Google Analytics -palvelua. Nyt Euroopan tietosuojaviranomaiset ovat kuitenkin todenneet palvelun tietosuojalain vastaiseksi. Esimerkiksi Suomen pääkaupunkiseudun kirjastot ovat saaneet tästä huomautuksen apulaistietosuojavaltuutetulta tammikuussa 2023.
Jos verkkosivutoimittajasi toteaa aiheesta puhuttaessa, että kaikkihan Google Analyticsia käyttää ja neuvoo odottelemaan tarkennuksia, on hyvä huomioida muutama myytti asian osalta.
Kolme tietosuojamyyttiä ja niiden murtaminen
Ensimmäinen myytti onkin “kaikkihan Google Analyticsia käyttää”. Joidenkin lähdetietojen mukaan yli 50 % verkkosivustoista käyttää Google Analyticsia kävijäseurantaan, mutta se, että joku toinenkin käyttää sitä, ei tarkoita Google Analyticsin olevan ainoa vaihtoehto. Kilpailevia tekniikoita verkkosivun tekniseen kävijäseurantaan onkin runsaasti – Hotjar, Snowplow, Baidu Analytics, Cloudflare ja Matomo (entinen Piwik Web Analytics).
Toinen myytti on, että uusi versio Google Analyticsista (GA4) tulisi olemaan tietosuojalain säädännön mukainen.
Heinäkuussa 2020 Euroopan unionin tuomioistuin kumosi niin sanotussa Schrems II -ratkaisussaan komission päätöksen EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä, joka koski henkilötietojen siirtoa Euroopan ja Yhdysvaltojen välillä.
Henkilötietojen siirtoa Yhdysvaltoihin on tähän asti tulkittu kahdella tavalla;
A) jos yhdysvaltalaisella yhtiöllä on mahdollinen pääsy tietoon, on siirto mahdollista
B) jos data (tieto) tallennetaan eurooppalaiseen konesaliin, vaikka kyseessä olisi yhdysvaltalainen toimittaja, siirtoa ei tapahtuisi tämän tulkinnan mukaan
Tämä on johtanut hämmennykseen ja erilaisiin tulkintoihin tarvittavista toimenpiteistä.
Otetaan esimerkiksi sähköpostimarkkinointi ja siinä yleisesti käytetty MailChimp-palvelu. Saksassa Bavarian alueen tietosuojavaltuutettu kielsi paikallista yritystä käyttämästä tätä suosittua yhdysvaltalaista palvelua. MailChimp kuitenkin viittaa edelleen verkkosivuillaan olevansa tietosuojalain mukainen ja toimivansa (2/2023 tarkistettaessa) Privacy Shield -järjestelyn mukaisesti. Kun järjestely ei ole ollut voimassa yli kahteen vuoteen, asettaa se organisaation kyseenalaiseen valoon – jos tämä ei pidä paikkaansa, voiko toiminnassa olla jotain muutakin epäselvää?
Moni käyttäjä onkin vaihtanut MailChimpistä johonkin toiseen palveluun tietosuojalainsäädäntöä koskevien kysymysmerkkien takia. Palvelua vaihtamalla ei kuitenkaan välttämättä ratkaise lainmukaisuuden ongelmia. Asia on siis monimutkainen.
Kolmas myytti on, että kohta julkistetaan Privacy Shield II ja ongelmat voidaan taas unohtaa. On huomioitava, että tämänhetkisten tietojen mukaan asialla ei ole varmaa aikataulua. Aiheesta on ollut keskustelua jo keväästä 2022 mutta sopimusta ei vieläkään ole. Voi olla, että sopimus syntyisikin keväällä 2023, mutta sitä ennen yhdysvaltalaisten palveluiden käytön osalta on vähintäänkin tehtävä riskiarvio sekä henkilötietojen siirtoon liittyvä vaikutusten arviointi.
Organisaation vastuulla on toimia lainmukaisesti riippumatta siitä mitä yhdysvaltalaiset toimittajat sanovat. Vastuuta ei voi ulkoistaa.
Mitä siis pitäisi tehdä, jotta tietosuoja on huomioitu?
Suosittelen, että jos ette ole aiemmin tehneet yleiskuvaa tietojen käsittelystä ja tietovirroista (data flow), nyt on oikea hetki siihen. Selvittää käytössä olevat yhdysvaltalaiset palveluntarjoajat – esimerkiksi Google, Microsoft, Oracle ja moni muu.
Näiden lisäksi aiemmin mainitut sähköpostimarkkinointi-työkalut kannattaa selvittää. Onko palvelulla kunnossa tietosuojaa koskeva vaikutustenarviointi (DPIA), henkilötietojen käsittelyn sopimukset (DPA) ja siirron vaikutustenarviointi (TIA)?
Voi myös pohtia, löytyisikö eurooppalaista toimittajaa sähköpostimarkkinointiin tai konesalitoimittajaksi.
Julkisesti näkyvät verkkosivut ovatkin oiva paikka aloittaa – samalla kannattaa tarkistaa evästeiden käsittely Traficomin ohjeiden mukaiseksi, nekin päivittyivät syksyllä 2021.
Tietosuojalainsäädäntö muuttuu ympäri maailmaa ja tätäkin asiaa on seurattava – vastuuta et voi ulkoistaa, mutta seurannan voit.
Laitetaanko tietosuojasi kuntoon?
Yksin näiden asioiden parissa ei siis tarvitse painia. Saat meiltä avaimet käteen -paketin verkkosivuston osalta – muutama työpaja ja laitetaan asiat yhteistyökumppanimme kanssa kuntoon. Työpajassa käydään läpi verkkosivustonne tietosuojainformointi, käydään läpi käyttämänne yhdysvaltalaiset sovellukset, testataan sivustonne evästeiden hyväksyntä sekä käyttö ja laitetaan seuranta lainmukaiseksi.