Google Analytics kieltoon Itävallassa – seuraako muu Eurooppa perässä?

Perttu Tolvanen

Euroopan tietosuojaviranomaiset kiristävät otettaan seuranta- ja analytiikkatyökaluista. Nyt vuorossa oli Itävallan tietosuojaviranomainen, joka totesi Google Analyticsin käytön GDPR-asetuksen vastaiseksi. TechCrunchin artikkelin mukaan keskeisin tekijä päätöksessä oli datan siirtyminen USA:han, jossa USA:n tiedusteluviranomaisilla on laajat oikeudet päästä käsiksi dataan, erityisesti jos kyse on muiden kuin USA:n kansalaisten tiedoista.

Wall Street Journal arvioi päätöksellä olevan vaikutuksia muuallakin Euroopassa.

”The de­ci­sion has im­pli­ca­tions be­yond Aus­tria. “I’m sure the prac­tices of Google An­a­lyt­ics are pretty much the same across the EU, so they’d be in­fring­ing the GDPR across the EU,” said David Mar­tin Ruiz, se­nior le­gal of­fi­cer at the Eu­ropean Con­sumer Or­gan­i­sa­tion, a Brus­sels-based ad­vo­cacy group.”

Myös TechCrunchin artikkelissa arvioidaan, että päätös todennäköisesti tulee toistumaan muuallakin Euroopassa.

”So if this tactic is getting called out here, as a result of a single website’s use of Google Analytics, it can and will be sanctioned by EU regulators elsewhere. After all, Google Analytics is everywhere online.”

TechCrunchin artikkeli myös avaa laajasti päätöksen taustoja, koska tapauksessa on pitkälti kyse siitä, että USA:n ja Euroopan välillä ei ole tällä hetkellä voimassaolevaa sopimusta datan luottamukselliseen siirtämiseen. Käytännössä ongelma on siinä, että USA:n lainsäädäntö antaa laajat oikeudet esimerkiksi tiedusteluviranomaisille päästä käsiksi dataan, joka sijaitsee USA:ssa olevissa datakeskuksissa, riippumatta siitä millaisin säädöksin ja rajoituksin tuo data on alunperin kerätty. Tämä tilanne on tietysti ongelma tuhansille muillekin palveluille, kuin Google Analyticsille, joten osittain voi ajatella Google Analyticsin joutuneen nyt tulilinjalle sattumalta.

Tosin, sattumaa tai ei, kyse on kiinnostavasta päätöksestä, jonka kohteena on terveysalan sivusto, joka on käyttänyt Google Analyticsia, eikä ole anonymisoinut kerättyä dataa millään tavalla, ja tämän seurauksena tietosuojaviranomainen on tehnyt päätöksensä liittyen käytettyyn analytiikkaohjelmistoon. Päätös tosin antaa ymmärtää, että ip-osoitteiden anonymisointikaan ei olisi muuttanut päätöksen lopputulemaa, koska Googlella on kuitenkin monia muitakin keinoja identifioida käyttäjä kerätystä datasta.

TechCrunchin artikkelista:

”“US intelligence services use certain online identifiers (such as the IP address or unique identification numbers) as a starting point for the surveillance of individuals,” the regulator notes in the decision [via a machine translation of the German language text], adding: “In particular, it cannot be excluded that these intelligence services have already collected information with the help of which the data transmitted here can be traced back to the person of the complainant.”

In reaching its conclusion, the regulator assessed various measures Google said it had implemented to protect the data in the US — such as encryption at rest in its data centers; or its claim that the data “must be considered as pseudonymous” — but did not find sufficient safeguards had been put in place to effectively block US intelligence services from accessing the data, as required to meet the GDPR’s standard.

“As long as the second respondent himself [i.e. Google] has the possibility to access data in plain text, the technical measures invoked cannot be considered effective in the sense of the above considerations,” it notes at one point, dismissing the type of encryption used as inadequate protection.”

Tästä samasta asiastahan on tässäkin blogissa aiemmin huomautettu, että esimerkiksi juuri terveysalan sivustojen kohdalla seuranta- ja analytiikkatyökalujen keräämän datan suhteen pitäisi olla erityisen tarkkana. Monesta ihmisestä voi pystyä päättelemään paljonkin pelkästään terveysalan sivustojen selaushistorian perusteella. Täten tietosuojaviranomaisen päätöstä ei voi pitää aivan yllättävänä.

Tämä päätös on myös Suomen kannalta kiinnostava. Google Analytics on Suomessakin laajasti käytössä, ja vaikka Traficomin viime syksyinen evästeohjeistus rajoitti analytiikan käytön tiukasti luvanvaraiseksi, ei se rajoittanut esimerkiksi Google Analyticsin käyttöä mitenkään, jos käyttäjä on antanut luvan laajempaan analytiikkaan.

Jos Itävallan viranomaisen päätöksen perustelut katsotaan myös muualla Euroopassa päteviksi, voi tämä käytännössä lopettaa Google Analyticsin käytön koko Euroopassa. Tällainen muutos olisi erittäin merkittävä muutos koko web-alalle.

Tosin vieläkin isompi muutos olisi se, jos tämän päätöksen seurauksena kaikki USA:n datakeskuksia käyttävät markkinointi- ja seurantatyökalut joutuisivat Euroopassa kieltolistalle – koska siitähän tässä on kysymys.

Elämme jännittäviä aikoja.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).

Lisää artikkeleita digitaalisesta markkinoinnista:

Comments are closed.