Ensimmäinen päätös Suomessa: Google Analytics on laiton, kirjastot vuotivat tietoja Yhdysvaltoihin
Tietosuojavaltuutetun toimisto on antanut tietääksemme ensimmäisen huomautuksen Google Analyticsin käytöstä Suomessa.
Google Analytics on maailman suosituin verkkoliikenteen seurantaan tarkoitettu työkalu. Sen avulla verkkosivun omistaja voi seurata sivuston liikennemääriä, mitä sivuja käyttäjät lataavat sivustolla ja kauanko käyttävät viipyvät sivustolla.
Toimiston alaisuudessa toimiva apulaistietosuojavaltuutettu antoi huomautuksen pääkaupunkiseudun Helmet-kirjastoille siitä, että niiden palveluissa käytetään sekä Google Analytics -liikenteenmittausjärjestelmää että Google Tag Manager -ratkaisua.
Päätös on suoraa jatkumoa vuosi sitten alkaneelle päätösten vyörylle, jossa useissa Euroopan maissa todettiin Google Analyticsin rikkovan EU:n lainsäädäntöä.
Syynä on nettimaailmaa syksyllä 2020 järisyttänyt päätös, jossa EU:n oikeusistuin päätti, että EU-kansalaisten tietojen siirto Yhdysvaltoihin on laitonta. Taustalla on EU:n GDPR-lainsäädäntö, joka takaa EU-kansalaisille laajat oikeudet omiin tietoihinsa.
Ongelmalliseksi tilanteen tekee se, että Yhdysvaltain lainsäädäntö antaa Yhdysvaltain viranomaisille (FBI, NSA, Homeland Security) laajat oikeudet penkoa kaikkia Yhdysvalloissa sijaitsevia tietokantoja - ilman erillistä oikeuden määräystä. Näin ollen EU:n kansalaisilleen takaamat oikeudet eivät toteudu, jos tietoja siirretään EU:sta Yhdysvaltoihin.
Helmet-kirjaston käyttäjien yksilöiviä tietoja siirtyi siis Google Analyticsin mukana Euroopasta Yhdysvaltoihin, sillä Google ei pysty takaamaan tietojen säilymistä pelkästään EU:n alueella. Lisäksi Helmet-kirjastot eivät viestineet tietojen keräämisestä ja Yhdysvaltoihin siirrosta tarpeeksi selkeästi sivuillaan.
Apulaistietosuojavaltuutettu on määrännyt Helmet-kirjastot tuhoamaan kaiken Google Analyticsin kautta kerätyt henkilötiedot, jos niitä on säilytetty lainvastaisesti.
Samalla päätöksessä korostetaan julkisen palvelun toimijan vastuuta ja sitä, että palvelua ovat käyttäneet myös iäkkäät ja lapset, joilla ei ole välttämättä riittäviä digitaitoja selvittää mihin heidän henkilötietonsa siirtyvät.
Päätös on kokonaisuudessaan luettavissa täältä (PDF).
Aiemmin tietosuojavaltuutetun toimisto on todennut WhatsAppissa yrityksen asiakkaista keskustelemisen olevan laitonta - samasta syystä, eli WhatsApp vuotaa tiedot Yhdysvaltoihin.
3 KOMMENTTIA
volkkari11/3
Jos mietitään näitä "haluamme turvata yksityisyytesi" mutta tarvitsemme suostumuksesi, jotta voit katsoa sisältöä, niin kertokaa yksiskin sivusto, joka ei tee vastaavaa? Mukaan luettuna tämä sivusto. Jos näitä lukee niin samalla menee tietoa eri tahoille ja niistä käydään kauppaa kolmansien osapuolten kanssa. Kuten omalla kohdallani sattui tilanne, jossa pyysin kaiken minusta kerätyn tiedon eräästä kauppaliikkeestä, niin vastauksena oli, että kolmas osapuoli kerää tiedon ja me emme voi antaa pyydettyä tietoa. Joten hohhoijjaa. Lopettakaa netissä käyminen, niin tietoja ei kerätä. Muuten tämä on loputon suo. Tosin täältäkin saa moneen hankintaan puolestaan ihan hyvää tietoa.
arivesa2/3
Jenkit tietää enemmän kuin luullaankaan, viis pykälistä. Tuttu maksaa Elisalle VPN- anonymiteetistä, mutta kun annoin hänelle salasanani katsoa Amazon- tilaustani, sain hälytyksen: tilillesi on kirjauduttu osoiteesta länsi-uusimaa, Mac koneella ja geneerisellä selaimella, tunnistanko tapahtuman? Hyvin piilotettu. Areenaa katsoessaan saa kyllä ilmoituksia: "tämä ohjelma on katsottavissa vain Suomessa". Amatööripuuhastelua.
dRD3/3
Itse asiassa GDPR on tässä viimeisen vuoden, kahden aikana alkanut toimimaan varsin mainiosti.
Me, kuten tuhannet muut sivustot käytämme keksikyselyssämme valmista kikkaretta siksi, että oikeasti lainmukaisen keksikyselyn tekeminen on ihan valtava koodausprojekti.
Mutta tuo meidän nykyinen kysely, jos kieltäydyt kekseistä, mitään evästedataa ei liikahda kolmansille osapuolille. Ei edes Google Analytics osaa yhdistää sinua aiempiin selailuhistorioihisi (no okei, ainakaan siten että me sivustona nähtäisiin sitä, joku NSA varmaan näkee..).
Ainoa data mitä tuolloin kertyy, on sivustolla ladattavien elementtien (HTML, JavaScriptit, kuvat, CSS:t) latauksesta syntyvä logidata - ja ei sitäkään, jos ne olivat selaimessasi ennestään cachessa.
Tärkein pointti 3rd party cookien estämisessä on oikeastaan se, että sinusta toki jää edelleen jälkiä nettiin, mutta niitä ei voi - eikä saa - yhdistellä keskenään, jos kieltäydyt evästeistä.
Toki silloin mm. mainonta on mallia kohdentamaton, eli todnäk "Kuumat sinkkunaiset odottavat jo naapurirapussasi!" -tyylistä roskaa :-)
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT