Alkuvuodesta 2022 Euroopan tietosuojaviranomaiset ovat todenneet Google Analyticsin laittomaksi. Syynä on se, että Yhdysvaltojen viranomaiset pääsevät halutessaan Analyticsin dataan käsiksi [1], [2]. Päätös on aiheuttanut paljon hämmennystä, joten avataan vähän, mistä on kyse.
Privacy Shield -järjestely
Heinäkuussa 2020 EU:n tuomioistuin kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn. Syyksi tuomioistuin kertoi mm. näin:
”Tuomioistuin katsoi, että Yhdysvaltojen kansallisen lainsäädännön vaatimukset ja erityisesti tietyt ohjelmat, joiden perusteella Yhdysvaltojen viranomaiset voivat saada käyttöönsä EU:sta Yhdysvaltoihin siirrettyjä henkilötietoja kansalliseen turvallisuuteen liittyviin tarkoituksiin, johtavat henkilötietojen suojan rajoituksiin, joita ei ole rajattu tavalla, joka vastaisi pääosiltaan unionin oikeuden mukaisia vaatimuksia, ja että kyseisessä lainsäädännössä ei anneta rekisteröidyille oikeuksia, joihin voitaisiin vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa.” [3]
Käytännössä tämä tarkoittaa sitä, ettei henkilötiedoiksi luettua evästedataa voida siirtää Yhdysvaltoihin, koska Yhdysvaltojen viranomaiset voivat saada käyttöönsä EU:n kansalaisten henkilötietoja.
Google Analytics ja evästeet
Evästeet ovat selaimeen asennettuja pieniä tekstitiedostoja, jotka keräävät tietoa verkkokäyttäytymisestä. Google Analyticsin keräämästä evästedatasta pystytään näkemään mm. minkä ikäisiä henkilöitä sivustolla käy ja mistä he ovat kiinnostuneet. Näitä tietoja ei oletuksena yksilöidä tunnistettaviin henkilötietoihin, kuten sähköpostiosoitteisiin tai puhelinnumeroihin.
Google Analyticsin seurantakoodi löytyy suurimmalta osalta eurooppalaisista verkkosivuista, joten jos Analytics kielletään Euroopassa, se aiheuttaa valtavasti toimenpiteitä.
Google Analytics ei ole ainoa
Google Analytics ei todellakaan ole ainoa järjestelmä, jonka dataan Yhdysvaltojen viranomaisilla on tarvittaessa pääsy. Esimerkiksi Facebook ja Salesforce saisivat tuomion suurella todennäköisyydellä, mikäli heidät oikeuteen vietäisiin asiasta. Jos kaikkien jenkkifirmojen osalta noudatettaisiin yhtä tiukkaa linjaa, muuttuisi Euroopassa moni asia.
Politiikkaa?
Henkilökohtaisesti uskon, että Google Analyticsin tuomitseminen laittomaksi, on osa politiikkaa. Monet tahot haluavat, että Euroopan ja Yhdysvaltojen välinen uusi datasiirtosopimus saataisiin voimaan. On siis hyvinkin mahdollista, että oikeusjutut ovat lähtöisin näiltä tahoilta. En tiedä, johtuuko näistä oikeustapauksista vai mistä, mutta nyt näyttäisi siltä, että sopu löytyy: https://tietosuoja.fi/-/euroopan-tietosuojaneuvostolta-eu-n-ja-yhdysvaltojen-valista-tietosuojakehysta-koskeva-lausunto-ja-kirje-belgian-valvontaviranomaisen-riippumattomuudesta [4]
Pitääkö tehdä jotain?
Ei tarvitse tehdä mitään. Kannattaa odotella rauhassa ja katsoa, miten tilanne kehittyy. Kun datasiirtosopimus on astunut voimaan, ei Analyticsia voi enää pitää laittomana samoista syistä.
[2] https://support.google.com/analytics/answer/11609059
[3] https://edpb.europa.eu/sites/default/files/files/file1/20200724_edpb_faqoncjeuc31118_fi.pdf