Lähes kaikilta maailman nettisivuilta löytyvä Googlen palikka todettiin laittomaksi

Petteri Pyyny
14. tammikuuta, 2022 17:53

Lähes kaikki maailman suuret verkkosivustot käyttävät Google Analytics -seutantaa sivuillaan. Nyt kyseinen seuranta on todettu laittomaksi Euroopan Unionin maassa.
Google Analytics on työkalu, joka tarjoaa verkkosivujen omistajille näkymän siihen, miten sivustoa käytetään ja mistä käyttäjät tulevat sivustolle. Käytännössä Google Analyticsin kautta sivusto saa käsityksen omasta suosiostaan ja mm. siitä, mitkä sivuston osa-alueet ovat suosituimpia. Mediasivustoille, kuten vaikkapa AfterDawnille Analyticsin kautta selviää myös vaikkapa se, moniko ihminen on lukenut tietyn uutisen.

Ilman näkyvyyttä tällaisiin tietoihin, sivuston ylläpito olisi luonnollisesti hieman hukassa siitä, mitkä aihealueet kiinnostavat lukijoita ja mitkä eivät.
Mutta ongelmalliseksi Google Analyticsin tekee se, että Googlen tapa käsitellä henkilötietoja on ristiriidassa Euroopan Unionin yleisen tietosuoja-asetuksen eli GDPR:n kanssa.

Isoin ongelma Google Analyticsissa on se, että se siirtää keräämänsä tiedot Yhdysvaltoihin, jossa Google pitää kotipaikkaansa. Aiemmin amerikkalaiset yhtiöt pystyivät siirtämään tietoja vapaasti Euroopan ja Yhdysvaltain välillä, mutta kesällä 2020 pamahti uutispommi, kun EU:n oikeus tuomitsi käytännön laittomaksi.

Syynä päätökseen on se, että Yhdysvaltain omien lakien mukaan amerikkalaisilla tiedusteluorganisaatioilla on laillinen pääsy kaikkeen dataan, jota säilytetään Yhdysvalloissa. Tämän johdosta GDPR:n idea yksityisyydestä ei siis voi toimia, jos tiedot siirtyvät maahan, jossa GDPR:ää ei kunnioiteta.

Nyt Itävallan tietosuojaviranomainen on päättänyt tämän pohjalta, että Google Analytics on laiton Itävallassa - ja todennäköisesti koko Euroopassa.

Itävallan tietosuojaviranomainen katsoo, että myös sinänsä anonyymit IP-osoitteet, joita Google Analytics käyttäjistä kerää, ovat nekin henkilötietoja - ja näin ollen GDPR:n suojausten alaisia. Myös tilanne, jossa Google anonymisoi IP-osoitteet ja luo kullekin käyttäjälle oman ID-tunnisteen ja käyttää sitä tunnistamaan yksittäisen käyttävän, on Itävallan viranomaisen mukaan sekin laitonta.

Google oli puolustautunut sillä, että se salaa siirrettävät tiedot. Mutta tämänkin kulman viranomainen tyrmäsi päätöksessään: viranomaisen mukaan salauskaan ei auta, jos Googlella itsellään on mahdollisuus saada luettavissa olevaa tietoa näkyville. Jos tällainen mahdollisuus on, on oletettavaa, että Google joutuu tarjoamaan vastaavaa pääsyä myös Yhdysvaltain tiedusteluviranomaisille.

Päätös on luonnollisesti valtava isku kaikille amerikkalaisille teknologiajäteille, sillä ne ovat laskeneet juurikin salauksen varaan uudessa tilanteessa.

Tiivistettynä: Eurooppalaisen käyttäjän tietoja suojaava GDPR kulkee käyttäjän tietojen mukana, myös muihin maanosiin ja maihin. Jos siirtävä yritys ei pysty takaamaan tätä turvallisuustasoa, se ei saa siirtää tietoja EU:n ulkopuolelle.

Käytännössä vaihtoehtoja on kaksi: Joko Googlen ja mm. Facebookin pitää muuttaa kokonaan datan keräämiseen pohjaavaa toimintamallieen. Tai vaihtoehtoisesti yritysten pitää rakentaa pelkästään EU:n alueella sijaitseva oma "datasiilo", joka sisältää ainoastaan Eurooppaa koskevat tiedot.

Vähemmän yllättäen, Google aikoo valittaa päätöksestä. Googlen analytiikka on eri muodoissaan käytössä noin 72 prosentilla kaikista verkkosivustoista.

Lue myös nämä
Tägit
Euroopan Unioni GDPR Google Google Analytics
Käytämme evästeitä sivuillamme. Näin parannamme palveluamme.