Google Analytics ja tietosuoja – GA4 on laillinen ja hyväksytty analytiikan työkalu
Pohdituttaako Google Analytics ja tietosuoja- sekä GDPR-asiat? Tässä tiukka tietopaketti aiheesta!
Mikä on Google Analyticsin juridinen asema?
Google Analyticsiin, kuten muidenkin yhdysvaltalaisten palveluiden käyttöön on liittynyt juridisia haasteita, jotka ovat herättäneet paljon keskustelua viime vuosina.
Keskeisimpänä ongelmana on ollut henkilötietojen siirtäminen yhdysvaltalaisille yrityksille ja USA:n tiedusteluviranomaisten teoreettinen pääsy tietoihin. Paljon puhuttaneet haasteet ratkesivat Euroopan komission päätöksen myötä heinäkuussa 2023.
Tämän päätöksen myötä Google Analytics ja muut yhdysvaltaiset palvelut ovat laillisia ja hyväksyttäviä työkaluja käytettäviksi.
Euroopan komission 10.7.2023 julkaisemaan päätökseen voit tutustua tarkemmin osoitteessa: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Keskustelua herättäneen kokonaisuuden ja taustan hahmottamiseen liittyy kolme tärkeää asiaa.
- GDPR ja tietosuoja-asetuksen voimaantulo
- Henkilötiedon laajentunut määritelmä
- Henkilötietojen siirtäminen EU-alueen ulkopuolelle
1. GDPR on sellaisenaan voimassa kaikissa EU-jäsenmaissa
EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan vuonna 2018 kaikissa EU-maissa. GDPR:n avulla kaikkiin EU-maihin luotiin yhtenäiset käytännöt henkilötietojen käsittelyyn liittyvissä kysymyksissä. Asetukset ovat sellaisenaan lainvoimaisia kaikissa EU-jäsenmaissa, eivätkä maat voi niitä itse soveltaa.
2. Henkilötieto-käsitteen laajentunut määritelmä
Vuonna 2018 GDPR:n voimaantulon myötä ”henkilötieto”-käsite laajeni merkittävästi. Käytännössä henkilötiedoksi määritellään mikä tahansa tieto, joka voidaan edes teoriassa yhdistää jonkin tietolähteen kautta yksittäiseen henkilöön.
Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Yllä olevan määritelmän perusteella myös esimerkiksi Google Analyticsin tallentama evästeiden tunnistetieto tai IP-osoite lasketaan henkilötiedoksi. Kyse ei siis ole siitä, kerätäänkö Google Analyticsiin nimiä, sähköpostiosoitteita tai muita perinteisemmin henkilötiedoksi katsottavia tietoja, vaan jo pelkästään käyttäjien laitteisiin tallennetut yksilöivät evästetiedot lasketaan itsessään henkilötiedoksi.
Mikäli Google Analytics kerää tietoja verkkosivuilla, on keräämiseen kysyttävä käyttäjän lupa evästetietoilmoituksella.
Evästetietoilmoituksessa käyttäjän on voitava yksilöidä, mitä tietoja hänestä saa kerätä.
3. Henkilötietojen siirtäminen EU-alueen ulkopuolelle
Henkilötietojen siirtämisestä EU-alueen ulkopuolelle on erilliset säädökset. Tietojen siirtäminen on mahdollista vain, jos voidaan varmistaa, että kolmannessa maassa varmistetaan riittävä tietosuojan taso. Jos maasta, jonne tietoja siirretään, ei ole tällaista komission päätöstä, tietojen siirtäminen voidaan toteuttaa vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä on toteuttanut riittävät suojatoimet tietojen siirtämiselle.
Yhdysvaltojen ja EU:n välillä oli aiemmin voimassa Privacy Shield -järjestely, joka on mahdollistanut tietojen siirtämisen Yhdysvaltoihin ja yhdysvaltalaisille yrityksille. EU-tuomioistuin kuitenkin kumosi päätöksen heinäkuussa 2020 Privacy Shieldin tarjoamasta tietosuojan riittävyydestä. Päätöksen taustalla oli Schrems II -tapaus, jossa tietosuoja-aktivisti Max Schrems ja hänen perustamansa järjestö NOYB tekivät valituksia Google Analyticsin tietosuojan riittämättömyydestä.
EU-tuomioistuimen päätökseen voit tutustua tarkemmin osoitteessa:
Tämän jälkeen henkilötietojen siirtäminen Yhdysvaltoihin oli käytännössä laitonta, ennen kuin Euroopan komissio hyväksyi 10.7.2023 uuden EU:n ja USA:n tietosuojakehyksen (EU-U.S. Data Privacy Framework), joka mahdollistaa henkilötietojen siirtymisen yhdysvaltaisille yrityksille.
Euroopan komission 10.7.2023 julkaisemaan päätökseen voit tutustua tarkemmin osoitteessa: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Summa summarum:
Google Analyticsia ei ole tarve vaihtaa, vaan se on täysin laillinen ja hyväksytty analytiikan työkalu jatkossakin.
Napakat vinkit Google Analyticsin tietosuoja-asioihin liittyen
Google on pyrkinyt vastaamaan lisääntyneisiin tietosuojavaatimuksiin tuomalla uusimpaan GA-versioonsa lisättyjä valintoja. Jo aiemmin on ollut mahdollista tehdä tili-tasolla valintoja, mutta nyt myös property-tasolla on joitain mahdollisuuksia vaikuttaa tiedonkeruuseen.
Google Analytics -tilin omistajana voit vaikuttaa monella tavalla tiedonkeruun tietosuojaan.
- Tutustu Google Analytics -tilin Admin-puolelta löytyviin tietojenkäsittelyehtoihin ja hyväksy DPA (Data Processing Agreement). Vakiosopimuslausekkeet (SCC:t) ovat Googlen tietojenkäsittelysopimuksessa mukana.
- Kannattaa myös tarkistaa, että olet hyväksynyt viimeisimmät päivitetyt ehdot.
- Nimeä organisaatiostasi tietosuojavastuulliset.
- Lisätietoa aiheesta voit lukea muun muassa Googlen ohjeartikkelista
Lisätietoja
Tagit
Liiketoimintaprosessi
Markkinointi |
Erikoisosaaminen
Analytiikka |
Toimialakokemus
Asiantuntijapalvelut |
Tarjonnan tyyppi
Toteutustyö | |
Tuki- ja ylläpitotyö |
Omat tagit
Oddy Digital - Asiantuntijat ja yhteyshenkilöt
Oddy Digital - Muita referenssejä
Oddy Digital - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Tietoturva-asiantuntija
- Nordea - Senior Full Stack Developer with IAM knowledge
- Tecinspire Oy - Dev Team Lead - Kehityksen tiimipäällikkö
- Laura - IT Manager
- Laura - Network Specialist
- Laura - Tiedonhallinnan erityisasiantuntija
- Laura - Junior Cyber Security Specialist
Premium-asiakkaiden viimeisimmät referenssit
- Ampersand Design Oy - Asiantuntijuuden vahvistaminen referenssitarinoilla
- Verkkovaraani Oy - Lentorata.fi-sivuston saavutettavuusauditointi
- Innofactor Oyj - Apotek 1 tarjoaa innovatiivisia palveluja Azure Kubernetes -ratkaisun avulla
- Innofactor Oyj - Business Centralin lisäarvoratkaisut tehostavat Domicetin liiketoimintaa
- Efima Oyj - Case Martela: Luottamus ERP-kumppaniin rakentui tehtaan lattialla
- Valve - Korsisaari uudistunut verkkopalvelu
- Valve - Musiikkituottajat – IFPI Finland ry verkkopalvelun uudistus
Tapahtumat & webinaarit
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 23.05.2024 - Ilmainen BI ja ERP-webinaari: Paradigman muutos
- 28.05.2024 - SprintIT webinaari ti 28.5. klo 10: Odoo Raportointi - Sitä saat mitä mittaat!
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
- 29.05.2024 - Ilmainen ERP-webinaari: Forbesin maailman parhaaksi valitseman liiketoimintaohjelmiston, Business Centralin, esittely ja demo
- 30.05.2024 - Palvelumuotoilu osana DevOpsia
Premium-asiakkaiden viimeisimmät bloggaukset
- Ready Solutions Oy - Tietomallit osana informaatioarkkitehtuuria
- Timeless Technology - Milesight UR32L Lite Series teollisuusreititin hintaan 115,00€!
- Innofactor Oyj - Dynasty Asiointipalvelun 3 tärkeintä hyötyä
- Efima Oyj - Microsoft Fabric -sanakirja: esittelyssä Fabricin analytiikkatyökalut
- Staria Oyj - Citycon ulkoistaa pohjoismaiseen talous- ja vuokrahallintoon liittyvät toiminnot Starialle
- Timeless Technology - Perlen 4G ja 5G reitittimet: Virtaviivaista verkonhallintaasi Docker OCI-säilöillä.
- Ready Solutions Oy - Lakehouse – alusta vai tietovarasto moderniin analytiikkakehitykseen?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |