Päivitämme tätä blogijuttua sitä mukaan, kun aiheesta tulee uutta tietoa. [Päivitetty 11.7.2023.]
Päivitys 10.7.2023: Google Analyticsiin ja muihin jenkkipalveluihin liittyvät juridiset haasteet ovat väistyneet uuden Euroopan komission uuden päätöksen myötä
Tässä lyhyt tiivistys tilanteesta kiireisille:
- Google Analyticsin ja kaikkien muiden jenkkipalveluiden käyttöön (ei vain web-analytiikkatyökalut) on liittynyt juridisia ongelmia
- Keskeisenä haasteena on ollut henkilötietojen siirtäminen yhdysvaltalaisille yrityksille ja USA:n tiedusteluviranomaisten teoreettinen pääsy tietoihin
- Ongelma on ratkennut USA:n ja EU:n välisellä sopimuksella tietojen siirtoon liittyvistä järjestelyistä (10.7.2023)
- Euroopan komissio hyväksyi 10.7.2023 uuden EU:n ja USA:n tietosuojakehyksen (EU-U.S. Data Privacy Framework), joka mahdollistaa henkilötietojen siirtymisen Yhdysvaltalaisille yrityksille
- Jos haluat ymmärtää mihin juridiset ongelmat ovat liittyneet, suosittelemme lukemaan alla olevan taustoituksen (kirjoitettu keväällä 2022)
1. Olennaista taustatietoa asian ymmärtämiseksi
Ennen kuin menemme itse päätöksiin, käydään läpi muutama taustatieto, jotka ovat olennaisia asian hahmottamiseksi. Ensimmäinen niistä liittyy GDPR:n soveltamiseen, toinen henkilötiedon määritelmään ja kolmas tietojen siirtämiseen EU-alueen ulkopuolelle.
1.1. Yleistä tietosuoja-asetusta sovelletaan sellaisenaan kaikissa jäsenmaissa
EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan 2018 kaikissa EU-maissa, mukaan lukien Suomessa. GDPR:n avulla kaikkiin EU-maihin luotiin yhtenäiset käytännöt henkilötietojen käsittelyyn liittyvissä kysymyksissä. Koska kyse on asetuksesta eikä direktiivistä, se on sellaisenaan lainvoimainen kaikissa jäsenmaissa. GDPR:ää siis sovelletaan tismalleen samalla tavalla vaikkapa Itävallassa ja Suomessa. Ennen GDPR:ää henkilötietojen käsittelyyn liittyvä lainsäädäntö on ollut kansallista.
Tästä syystä Suomen Tietosuojavaltuutetun toimiston oletetaan tekevän tismalleen samanlaiset päätökset kuin Itävallan tai Ranskan tietosuojaviranomaisten.
1.2. GDPR:n myötä henkilötiedon määritelmä laajentui merkittävästi
GDPR:n voimaantulo muutti monia asioita henkilötietojen käsittelyssä, mutta tämän blogijutun kannalta keskeistä on ymmärtää henkilötietojen käsitteen merkittävä laajentuminen, koska se on myös osaltaan syy, miksi Google Analyticsin katsotaan keräävän henkilötietoja. Käytännössä henkilötiedoksi määritellään mikä tahansa tieto, joka voidaan edes teoriassa yhdistää jonkin tietolähteen kautta yksittäiseen henkilöön. Tällä perusteella myös esimerkiksi Google Analyticsin tallentama evästeiden tunnistetieto tai IP-osoite (joka on toki tietyissä määrin anonymisoitavissa) lasketaan henkilötiedoksi. Kyse ei siis ole siitä, kerätäänkö Google Analyticsiin nimiä, sähköpostiosoitteita tai muita perinteisemmin henkilötiedoksi katsottavia tietoja (joiden kerääminen on Googlen omienkin ehtojen vastaista), vaan pelkästään käyttäjien laitteisiin tallennetut yksilöivät evästetiedot lasketaan jo itsessään henkilötiedoksi.
Ohessa ote GDPR:stä ja henkilötiedon määritelmästä:
’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
Lähde: Yleinen tietosuoja-asetus
1.3. Henkilötietojen siirtäminen EU-alueen ulkopuolelle
Henkilötietojen siirtämisestä EU-alueen ulkopuolelle, tässä tapauksessa Yhdysvaltoihin (koska Google on yhdysvaltalainen yritys), on säädetty erikseen GDPR:n luvussa viisi. Tietojen siirtäminen on mahdollista vain, jos voidaan varmistaa, että kolmannessa maassa varmistetaan riittävä tietosuojan taso.
Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason.
Jos maasta, jonne tietoja siirretään, ei ole tällaista komission päätöstä, tietojen siirtäminen voidaan toteuttaa vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä on toteuttanut riittävät suojatoimet tietojen siirtämiselle.
Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
2. Itävallan ja Ranskan tietosuojaviranomaisten päätökset
Itävallan ja Ranskan tietosuojaviranomaisten päätöksissä Google Analyticsin laillisuudesta on kyse henkilötietojen siirtämisestä Yhdysvaltoihin. Tietosuojan kannalta ongelmalliseksi nähdään se, että Yhdysvaltojen tiedusteluviranomaisilla on pyydettäessä laajat oikeudet paikallisten yritysten tietoihin. Nämä oikeudet eivät ole GDPR:n mukaisia ja tietosuojaviranomaiset ovat nähneet ongelmaksi, ettei henkilötietojen päätymistä tiedusteluviranomaisten käsiin voida estää. EU:ssa on ylipäätään erittäin tiukka kanta tietosuoja-asioihin, ja se eroaa merkittävästi USA:n vastaavasta lainsäädännöstä.
Yhdysvaltojen ja EU:n välillä on ollut aiemmin voimassa Privacy Shield -niminen järjestely, joka on mahdollistanut tietojen siirtämisen Yhdysvaltoihin ja yhdysvaltalaisille yrityksille. Käytännössä kaikki yhdysvaltalaiset teknojätit, kuten Google ja Meta, ovat olleet mukana tässä järjestelyssä.
EU-tuomioistuin kuitenkin totesi kesällä 2020 Privacy Shield -järjestelyn tietosuojan tason riittämättömäksi niin kutsutussa Schrems II -tapauksessa (Max Schrems on tietosuoja-aktivisti ja hänen perustamansa järjestö NOYB on myös Google Analyticsiin liittyvien valitusten taustalla).
Tämän jälkeen henkilötietojen siirtäminen Yhdysvaltoihin on ollut käytännössä laitonta. Parin vuoden aikana tapauksia on alkanut nousta tietosuojaviranomaisten pöydälle ja Google Analytics on otettu yhtenä työkaluna tikunnokkaan varmasti sen laajan käyttäjäkunnan takia.
Jos komissio ei ole tehnyt päätöstä tietojen siirtämisestä tiettyyn kolmanteen maahan (tässä tapauksessa USA:han), tietojen siirtäminen EU-alueen ulkopuolelle on mahdollista vain EU-komission hyväksymien vakiolausekkeiden avulla. Vakiolausekkeet ovat komission tekemisiä “valmiita sopimusehtoja”, jotka olisi sellaisenaan sisällytettävä sopimukseen, jossa tietojen siirrosta EU-alueen ulkopuolelle sovitaan. Google ei ole sisällyttänyt näitä vakiolausekkeita omiin ehtoihinsa. Vakiolausekkeet päivitettiin kesällä 2021 ja niiden käyttöönottoon liittyvä siirtymäaika päättyy 28. joulukuuta 2022
3. Ongelman laajuus kokonaisuudessaan
Tässä vaiheessa on hyvä korostaa, että tietojen siirtäminen Yhdysvaltoihin ja siihen liittyvät juridiset ongelmat ovat erittäin laaja kokonaisuus. Asia koskettaa käytännössä kaikkia yhdysvaltalaisia verkkopalveluita. Google Analytics on kokonaisuudessa vain jäävuoren huippu, ja on ennakkotapausten takia enemmän valokeilassa.
Juridiset ongelmat eivät siis millään tapaa liity vain Google Analyticsiin, vaan kaikkiin jenkkipalveluihin, jotka tallentavat henkilötiedoksi määriteltävää tietoa. Ja koska henkilötiedon määritelmä on erittäin laaja, käytännön tasolla kyse on ihan kaikista verkkopalveluista, joita yhdysvaltalaiset yritykset pyörittävät.
Tämän takia pelkkä Google Analyticsin vaihtaminen korvaavaan työkaluun ei käytännössä tee kokonaisuudesta yhtään laillisempaa. Totta kai se poistaa riskin siitä, että tietosuojaviranomaiset ottaisivat kantaa juuri Google Analyticsin käyttöön.
4. Ratkaisuvaihtoehdot ja viimeaikaiset käänteet
Kaikista helpoin ratkaisu ongelmaan olisi EU:n ja USA:n välinen sopimus tietojen siirtämisestä, eli Privacy Shield -järjestelyn korvaaja. Iloksemme olemme saaneet lukea viime päivinä, että tällaisesta sopimuksesta on jo päästy poliittiseen yhteisymmärrykseen. Tällä hetkellä näyttää siis vahvasti siltä, että Google Analyticsin ja muihin jenkkipalveluihin kohdistuvat juridiset ongelmat olisivat väistymässä uudella EU:n ja USA:n välisellä järjestelyllä. Tulevina kuukausina tulemme kuulemaan tästä lisää, viimeksi poliittisen yhteisymmäryksen löytymisestä kesti puoli vuotta Privacy Shield -järjestelyn toteutumiseen.
⚡Päivitys: Uusi tietosuojakehitys (EU-U.S. Data Privacy Framework) on otettu käyttöön 10.7.2023, kun Euroopan komissio tekisi aiheeseen liittyvän riittävyyspäätöksen
Ennen uuden järjestelyn toteutumista elämme ikävässä välitilassa ja on mahdollista, että tietosuojaviranomaiset toteuttavat aiemman kaltaisia päätöksiä Google Analyticsiin liittyen myös Suomessa. Toki ne koskettavat vain yksittäisiä yrityksiä, eli lähtökohtaisesti tietosuojaviranomaisen hampaisiin joutuminen vaatii sitä, että joku tekee yrityksestä tai organisaatiosta valituksen.
On myös hyvä huomioida, että uusi järjestely tullaan myös aivan varmasti haastamaan. Tässä tarinassa tulee olemaan käänteitä vielä vuosiksi.
Jos poliittinen järjestely EU:n ja USA:n välillä ei toteudu, on myös mahdollista, että Google ja muut jenkkipalvelut alkavat sisällyttää heidän tietojen käsittelysopimuksiin EU-komission vakiolausekkeita. Myös tämä on mahdollinen skenaario, mutta se siirtää riskiä merkittävästi palveluntarjoajalle ja sitä halutaan välttää. Vakiolausekkeiden lisäksi jokaisen yrityksen täytyisi myös tehdä arvio tietojen siirtämiseen liittyvistä riskeistä (Transfer Impact Assessment). On mahdollista, että Google tarjoaisi tähänkin valmiin pohjan. Vakiolausekkeiden tuleminen osaksi palveluehtoja vaikuttaa kuitenkin tällä hetkellä epätodennäköiseltä, koska poliittinen ratkaisu on jo näkyvissä horisontissa.
5. Miten nyt kannattaa toimia?
- Ota aihe seurantaan (vaikkapa lisäämällä kirjanmerkkeihin tämän blogijutun) ja tarkkaile, milloin uudesta EU:n ja USA:n välisestä datasiirtosopimuksesta uutta tietoa (uusi datasiirtosopimus hyväksytty 10.7.2023)
- Selvitä, kenen vastuulla tietosuojateemat ovat teidän yrityksessänne
- Kartoittakaa laajasti kaikki Yhdysvaltalaiset palvelut, joita käytätte, jotta olette tietoisia ongelman laajuudesta
- Päättäkää minkälaisia riskejä pystytte sietämään asian suhteen
On tiedostettava, että tällä hetkellä jenkkipalveluiden käyttöön liittyy riski siitä, että tietosuojaviranomainen päättää kehottaa niiden käytön lopettamisen. Riski koskee tällä hetkellä yksittäisiä yrityksiä ja sen toteutuminen vaatii valituksen tietosuojaviranomaisille. Teoriassa päätöksestä voisi seurata myös sakkorangaistus, vaikka sellaisia ei vielä Euroopassa ole Google Analyticsin osalta annettukaan. Näiden riskien toteutuminen ei ole mahdotonta, mutta ei myöskään erittäin todennäköistä, eli hätiköityjä päätöksiä työkalujen vaihdosta ei kuitenkaan kannata tehdä.
On myös syytä huomata, että Google Analyticsin vaihtaminen toiseen työkaluun ei tee kokonaisuudesta laillisempaa. Vaakakupissa on myös liiketoimintaan liittyvät riskit: jos Googlen seurantatyökaluista luovutaan kokonaan, on esimerkiksi digimainontaa mahdotonta tehdä tuottavasti Googlen kanavissa. Tämä voi esimerkiksi verkkokauppayritykselle tarkoittaa merkittävää myynnin menetystä.
Ratkaisu ongelmaan näkyy jo horisontissa. Sitä odotellessa kannattaa tutustua GDPR:ään ja tietosuoja-asioihin myös laajemmin. Esimerkiksi evästeisiin liittyvät lupakäytännöt kannattaa laittaa viimeistään nyt kuntoon, vaikka ne eivät suoraan tietojen siirtämiseen liittyviä juridisia ongelmia poistakaan.
⚡Päivitys: Uusi tietosuojakehitys (EU-U.S. Data Privacy Framework) on otettu käyttöön 10.7.2023, kun Euroopan komissio tekisi aiheeseen liittyvän riittävyyspäätöksen