Google Analytics kieltoon Itävallassa – seuraako muu Eurooppa perässä?
Euroopan tietosuojaviranomaiset kiristävät otettaan seuranta- ja analytiikkatyökaluista. Nyt vuorossa oli Itävallan tietosuojaviranomainen, joka totesi Google Analyticsin käytön GDPR-asetuksen vastaiseksi. TechCrunchin artikkelin mukaan keskeisin tekijä päätöksessä oli datan siirtyminen USA:han, jossa USA:n tiedusteluviranomaisilla on laajat oikeudet päästä käsiksi dataan, erityisesti jos kyse on muiden kuin USA:n kansalaisten tiedoista.
Wall Street Journal arvioi päätöksellä olevan vaikutuksia muuallakin Euroopassa.
”The decision has implications beyond Austria. “I’m sure the practices of Google Analytics are pretty much the same across the EU, so they’d be infringing the GDPR across the EU,” said David Martin Ruiz, senior legal officer at the European Consumer Organisation, a Brussels-based advocacy group.”
Myös TechCrunchin artikkelissa arvioidaan, että päätös todennäköisesti tulee toistumaan muuallakin Euroopassa.
”So if this tactic is getting called out here, as a result of a single website’s use of Google Analytics, it can and will be sanctioned by EU regulators elsewhere. After all, Google Analytics is everywhere online.”
TechCrunchin artikkeli myös avaa laajasti päätöksen taustoja, koska tapauksessa on pitkälti kyse siitä, että USA:n ja Euroopan välillä ei ole tällä hetkellä voimassaolevaa sopimusta datan luottamukselliseen siirtämiseen. Käytännössä ongelma on siinä, että USA:n lainsäädäntö antaa laajat oikeudet esimerkiksi tiedusteluviranomaisille päästä käsiksi dataan, joka sijaitsee USA:ssa olevissa datakeskuksissa, riippumatta siitä millaisin säädöksin ja rajoituksin tuo data on alunperin kerätty. Tämä tilanne on tietysti ongelma tuhansille muillekin palveluille, kuin Google Analyticsille, joten osittain voi ajatella Google Analyticsin joutuneen nyt tulilinjalle sattumalta.
Tosin, sattumaa tai ei, kyse on kiinnostavasta päätöksestä, jonka kohteena on terveysalan sivusto, joka on käyttänyt Google Analyticsia, eikä ole anonymisoinut kerättyä dataa millään tavalla, ja tämän seurauksena tietosuojaviranomainen on tehnyt päätöksensä liittyen käytettyyn analytiikkaohjelmistoon. Päätös tosin antaa ymmärtää, että ip-osoitteiden anonymisointikaan ei olisi muuttanut päätöksen lopputulemaa, koska Googlella on kuitenkin monia muitakin keinoja identifioida käyttäjä kerätystä datasta.
TechCrunchin artikkelista:
”“US intelligence services use certain online identifiers (such as the IP address or unique identification numbers) as a starting point for the surveillance of individuals,” the regulator notes in the decision [via a machine translation of the German language text], adding: “In particular, it cannot be excluded that these intelligence services have already collected information with the help of which the data transmitted here can be traced back to the person of the complainant.”
In reaching its conclusion, the regulator assessed various measures Google said it had implemented to protect the data in the US — such as encryption at rest in its data centers; or its claim that the data “must be considered as pseudonymous” — but did not find sufficient safeguards had been put in place to effectively block US intelligence services from accessing the data, as required to meet the GDPR’s standard.
“As long as the second respondent himself [i.e. Google] has the possibility to access data in plain text, the technical measures invoked cannot be considered effective in the sense of the above considerations,” it notes at one point, dismissing the type of encryption used as inadequate protection.”
Tästä samasta asiastahan on tässäkin blogissa aiemmin huomautettu, että esimerkiksi juuri terveysalan sivustojen kohdalla seuranta- ja analytiikkatyökalujen keräämän datan suhteen pitäisi olla erityisen tarkkana. Monesta ihmisestä voi pystyä päättelemään paljonkin pelkästään terveysalan sivustojen selaushistorian perusteella. Täten tietosuojaviranomaisen päätöstä ei voi pitää aivan yllättävänä.
Tämä päätös on myös Suomen kannalta kiinnostava. Google Analytics on Suomessakin laajasti käytössä, ja vaikka Traficomin viime syksyinen evästeohjeistus rajoitti analytiikan käytön tiukasti luvanvaraiseksi, ei se rajoittanut esimerkiksi Google Analyticsin käyttöä mitenkään, jos käyttäjä on antanut luvan laajempaan analytiikkaan.
Jos Itävallan viranomaisen päätöksen perustelut katsotaan myös muualla Euroopassa päteviksi, voi tämä käytännössä lopettaa Google Analyticsin käytön koko Euroopassa. Tällainen muutos olisi erittäin merkittävä muutos koko web-alalle.
Tosin vieläkin isompi muutos olisi se, jos tämän päätöksen seurauksena kaikki USA:n datakeskuksia käyttävät markkinointi- ja seurantatyökalut joutuisivat Euroopassa kieltolistalle – koska siitähän tässä on kysymys.
Elämme jännittäviä aikoja.
Lisää artikkeleita digitaalisesta markkinoinnista:
- Liian vaikeista evästebannereista miljoonasakot Googlelle ja Facebookille Ranskassa
- Kuluttaja-lehti neuvoo tunnistamaan väärennetyt arvostelut verkkokaupoissa
- Verkkosivustot eivät aina kuole, joskus ne muuttuvat zombie-sivustoiksi
- Markkinointiala kipuilee uuden evästeohjeen kanssa
- Syväsukellus Googleen yhtiönä podcast-muodossa
- Traficomin uusi evästeohje tuo ison muutoksen kotimaiseen webbiin
- Valheelliset tuotearvostelut keräävät huomiota
- Evästebannerin tekninen toteutus on usein haastavaa
- Google arvostaa yhä enemmän nopeutta ja ennustettavuutta
- Traficom pyytää kommentteja uuden evästeohjeistuksen luonnoksesta
- Protocol raportoi evästetaisteluiden alkulähteiltä
- Traficom taipui – valmistelee evästeohjeistuksen päivitystä
- Maailman isoimmat hakukoneet keskittyvät mainosten esittämiseen
- Evästelupakysely asiallisesti – esimerkkejä verkkokaupoista
- Evästelupalaput edelleen yhtä sekamelskaa
- Yli 40 % verkkokauppojen tuotearvosteluista väärennettyjä
- Kuka uskaltaa kyseenalaistaa digitaalisen mainonnan tehokkuuden?
- Apulaistietosuojavaltuutettu puuttui evästelupalappuihin
- Facebookin ja Googlen jäljittimet julkishallinnossa – miksi?
- Älä kysy lupaa evästeisiin – kysy lupa mainosverkostojen trackkereihin
- Älä kysy lupaa evästeisiin – jatko-osa
- GDPR-vinkki: kävijöiden seurantaa voi myös vähentää
- Älä kysy lupaa evästeisiin
- Sähköposti on kuuminta hottia digimarkkinoinnissa
Perttu Tolvanen
Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.
Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!
