Google Analytics vastatuulessa – mistä GDPR-kohussa on kyse?

15.02.2022

EU:n tietosuoja-asetus GDPR ja erilaiset näkemykset yksityisyyden suojasta hiertävät EU:n ja Yhdysvaltojen välejä. Viimeisimpänä käänteenä Google on joutunut Itävallassa tietosuojaviranomaisen hampaisiin. Google Analyticsin käyttö on GDPR:n vastaista, viranomainen on todennut päätöksessään*. Mitä päätöksen taustalla on ja mitä se käytännössä merkitsee? Voiko Google Analyticsiä yhä käyttää?

*Lisäys 17.2.2022: Kyse ei enää ole ainoastaan Itävallasta, vaan sama tulkinta on nyt Euroopan laajuinen: Euroopan tietosuojaviranomaiset ovat päätöksessään todenneet Google Analyticsin käytön GDPR:n vastaiseksi.

Perusteluna päätökselle on se, että Google Analyticsin verkkosivustolta keräämät seurantatiedot tallentuvat EU/ETA-alueen ulkopuolelle, Googlen Yhdysvalloissa sijaitseville palvelimille. Se ei ole GDPR-vaatimusten mukaista.

Päätöksen taustalla on se, että Yhdysvaltojen ja EU:n välillä ei ole voimassaolevaa sopimusta luottamukselliseen tiedonsiirtoon. Tähän tarkoitukseen luotu Privacy Shield -sopimus tuomittiin GDPR-vaatimusten vastaiseksi jo kesällä 2020, ja siitä lähtien tilanne on ollut epäselvä. Ongelman ytimessä on USA:n oma lainsäädäntö, joka sallii tiedusteluviranomaisille oikeudet päästä käsiksi USA:n datakeskuksiin tallennettavaan dataan – siis myös eurooppalaisten dataan. Uutta tiedonsiirtosopimusta ei ole ainakaan vielä näköpiirissä, vaikka neuvotteluja käydään.

Itävallan valituksen takana on itävaltalainen tietosuoja-aktivisti Max Schrems ja hänen voittoa tavoittelematon organisaationsa noyb, joka on tehnyt Itävallan tapauksen lisäksi sata muutakin valitusta eri puolilla Eurooppaa samoin argumentein. Niitä luultavasti vielä puidaan oikeudessa hyvän aikaa Googlen valitusten myötä.

Google ei tietenkään ole ainoa teknologiajätti, joka kerää ja tallentaa tietoja Yhdysvaltoihin. Sama koskee pitkää liutaa muitakin yrityksiä ja niiden palveluja, kuten vaikkapa Facebookia ja Amazonia. Hurjimpien spekulaatioiden mukaan Googlen vastatuuli on voinut jo aloittaa lähtölaskennan yhdysvaltalaisten teknologiayhtiöiden poistumiselle Euroopan markkinoilta. Facebookin emoyhtiö Meta onkin jo ehtinyt pelotella Euroopan jättämisellä, jos tiedonsiirtosopimusta ei saada solmituksi. Se on kuitenkin järisyttävä skenaario, jonka on vaikea nähdä toteutuvan. Taloudelliset panokset ovat puolin ja toisin niin kovat, että halukkuutta epäselvän tilanteen ratkaisemiseen luulisi löytyvän.

Googlen tapauksessa esillä on ollut myös kumppanuuksien solmiminen eurooppalaisten datakeskusten tarjoajien kanssa. Tällöin EU-alueelta ei enää siirrettäisi henkilötietoja USA:han.

Vaihtoehtoja Google Analyticsille

Suomessa Google Analyticsin käyttöä on rajoitettu myös niin, että kävijäseurannan on oltava luvanvaraista. Analytics kerää seurantadataa evästeiden avulla, ja Traficomin syksyllä 2021 julkaiseman evästeohjeistuksen mukaan sivuston kävijältä on pyydettävä suostumus evästeiden käyttöön. Ilman lupaa tietoja ei voi kerätä – ja aika moni jättää luvan antamatta.

Sekä Traficomin asettamat rajoitukset seurannalle että Euroopan tietosuojaviranomaisten päätös saavat varmasti monet yritykset ja organisaatiot pohtimaan GDPR-ystävällisiä ja evästeettömiä vaihtoehtoja Google Analyticsille. Niitä nimittäin on olemassa, vaikka Analytics on toki analytiikkatyökaluista ylivoimaisesti suosituin.

Esimerkiksi Matomo ja Fathom voivat olla varteenotettavia ratkaisuja. Ne eivät ole ilmaisia, mutta toimivat kävijöiden yksityisyyttä suojellen ja GDPR-vaatimusten mukaisesti. Ne keräävät vain anonymisoitua seurantadataa, jota ei siirretä EU:n ulkopuolelle. Fathom ei käytä evästeitä kävijäseurannassa lainkaan, ja Matomossakin on mahdollisuus olla hyödyntämättä evästeitä. Tällöin siis evästebannereitakaan ei mahdollisesti tarvittaisi.

*Matomo Reporting Interface. Kuva: Matomo*

Matomo on ominaisuuksiltaan pitkälti Google Analyticsin kaltainen. Siirtymä Google Analyticsista on myös tehty helpoksi, sillä historiadata on mahdollista siirtää Analyticsista Matomoon. Fathom puolestaan sopii yksinkertaisuuden ystävälle, joka haluaa kaiken oleellisen datan yhdessä selkeässä näkymässä.

Selvyyden vuoksi todettakoon, että Traficom ei ole tehnyt linjausta evästeettömästä kävijäseurannasta. Näkemyksemme kuitenkin on, että jos evästeitä ei seurannassa käytä, suostumustakaan ei tarvita, kunhan huolehtii siitä, että seurantatieto todella on kaikin puolin anonymisoitua eikä sitä välitetä eteenpäin.

Palvelinpohjainen seuranta Google Tag Managerilla

Kenties yllättävää, mutta myös Googlen omien työkalujen joukosta löytyy GDPR-ystävällisempi vaihtoehto: anonymisoitu palvelinpohjainen seuranta Google Tag Managerin avulla (server-side tagging). Kyse on vielä melko uudesta teknologiasta, jonka käyttö vaatii teknistä osaamista. Tämäkään ratkaisu ei ole ilmainen, sillä palvelintila tietenkin maksaa. Kun käyttää EU/ETA-alueella sijaitsevaa palvelinta, GDPR:n kanssa ei siltä osin tule ongelmaa.

Palvelinpohjaisessa seurannassa kerättävä data siirtyy sivuston palvelimelle, josta data lähetetään eteenpäin Analyticsiin – ei siis suoraan kävijän laitteen selaimesta evästeiden avulla Analyticsiin. Sivuston omistaja voi tällöin hallita, mitä tietoja kävijöistä kerätään. Esimerkiksi kävijöiden IP-osoitteet, jotka luetaan henkilötiedoiksi, voidaan kokonaan jättää keräämättä.

Anonyymi palvelinpohjainen seuranta ei edellytä evästeiden käyttöä, jos kerättävä tieto ei liity sivuston kävijään vaan ainoastaan sivuston käyttöön. Esimerkiksi mistä kävijä tuli sivustolle, kuinka kauan katsoi mitäkin sivua ja miltä sivulta poistui ovat sivuston käyttöä koskevia tietoja. Tietysti tämän rinnalla voi myös käyttää myös evästeitä, ja jos kävijä ne hyväksyy, on mahdollista kerätä myös tarkempaa kävijädataa.

Meiltä saat apua analytiikka-ratkaisuihin

Kaiken kaikkiaan on hyvä pitää mielessä, että ihmiset ovat yhä tietoisempia yksityisyydestään verkossa ja yhä paremmin perillä GDPR-asetuksen mukaisista oikeuksistaan. Organisaatioiden kannattaakin tarkastella tietosuojakäytäntöjään uusin silmin ja huolehtia, että kävijäseurannan ja tiedon keräämisen käytännöt suojaavat kävijän oikeuksia niin hyvin kuin nykyisessä tilanteessa on mahdollista.

Jos olet epävarma sivustosi tilanteesta GDPR:n suhteen tai haluat pohtia vaihtoehtoisia analytiikkaratkaisuja, meiltä saat apua.

Cookie	Kesto	Kuvaus
_GRECAPTCHA		This cookie is set by Google reCAPTCHA, which protects our site against spam enquiries on contact forms.
cli_user_preference
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
CookieLawInfoConsent
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Kesto	Kuvaus
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
_lfa	2 years	This cookie is set by the provider Leadfeeder. This cookie is used for identifying the IP address of devices visiting the website. The cookie collects information such as IP addresses, time spent on website and page requests for the visits.This collected information is used for retargeting of multiple users routing from the same IP address.
AnalyticsSyncHistory	1 month	No description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Cookie	Kesto	Kuvaus
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjIncludedInSessionSample	2 minutes	No description

Druid

Vaihtoehtoja Google Analyticsille

Palvelinpohjainen seuranta Google Tag Managerilla

Meiltä saat apua analytiikka-ratkaisuihin

Ota yhteyttä

Google Analytics vastatuulessa – mistä GDPR-kohussa on kyse?

GDPR ei salli henkilötietojen siirtoa USA:han

Googlen GDPR-kohu on ehkä vasta alkusoittoa

Vaihtoehtoja Google Analyticsille

Palvelinpohjainen seuranta Google Tag Managerilla

Meiltä saat apua analytiikka-ratkaisuihin

Ota yhteyttä

Muuta kiinnostavaa

Mitä Matomo-analytiikka kertoo?

Datavastuullinen Matomo-analytiikka