Petteri Pyyny
17. tammikuuta, 2023 19:18
Tietosuojavaltuutetun toimisto on antanut tietääksemme ensimmäisen huomautuksen Google Analyticsin käytöstä Suomessa.
Google Analytics on maailman suosituin verkkoliikenteen seurantaan tarkoitettu työkalu. Sen avulla verkkosivun omistaja voi seurata sivuston liikennemääriä, mitä sivuja käyttäjät lataavat sivustolla ja kauanko käyttävät viipyvät sivustolla.
Toimiston alaisuudessa toimiva apulaistietosuojavaltuutettu antoi huomautuksen pääkaupunkiseudun Helmet-kirjastoille siitä, että niiden palveluissa käytetään sekä Google Analytics -liikenteenmittausjärjestelmää että Google Tag Manager -ratkaisua.
Päätös on suoraa jatkumoa vuosi sitten alkaneelle päätösten vyörylle, jossa useissa Euroopan maissa todettiin Google Analyticsin rikkovan EU:n lainsäädäntöä.
Syynä on nettimaailmaa syksyllä 2020 järisyttänyt päätös, jossa EU:n oikeusistuin päätti, että EU-kansalaisten tietojen siirto Yhdysvaltoihin on laitonta. Taustalla on EU:n GDPR-lainsäädäntö, joka takaa EU-kansalaisille laajat oikeudet omiin tietoihinsa.
Ongelmalliseksi tilanteen tekee se, että Yhdysvaltain lainsäädäntö antaa Yhdysvaltain viranomaisille (FBI, NSA, Homeland Security) laajat oikeudet penkoa kaikkia Yhdysvalloissa sijaitsevia tietokantoja - ilman erillistä oikeuden määräystä. Näin ollen EU:n kansalaisilleen takaamat oikeudet eivät toteudu, jos tietoja siirretään EU:sta Yhdysvaltoihin.
Helmet-kirjaston käyttäjien yksilöiviä tietoja siirtyi siis Google Analyticsin mukana Euroopasta Yhdysvaltoihin, sillä Google ei pysty takaamaan tietojen säilymistä pelkästään EU:n alueella. Lisäksi Helmet-kirjastot eivät viestineet tietojen keräämisestä ja Yhdysvaltoihin siirrosta tarpeeksi selkeästi sivuillaan.
Apulaistietosuojavaltuutettu on määrännyt Helmet-kirjastot tuhoamaan kaiken Google Analyticsin kautta kerätyt henkilötiedot, jos niitä on säilytetty lainvastaisesti.
Samalla päätöksessä korostetaan julkisen palvelun toimijan vastuuta ja sitä, että palvelua ovat käyttäneet myös iäkkäät ja lapset, joilla ei ole välttämättä riittäviä digitaitoja selvittää mihin heidän henkilötietonsa siirtyvät.
Päätös on kokonaisuudessaan luettavissa täältä (PDF).
Aiemmin tietosuojavaltuutetun toimisto on todennut WhatsAppissa yrityksen asiakkaista keskustelemisen olevan laitonta - samasta syystä, eli WhatsApp vuotaa tiedot Yhdysvaltoihin.