Tietosuojaviranomainen antanut huomautuksen Google Analyticsin käytöstä myös Suomessa
Suomessa on tullut ensimmäinen viranomaispäätös tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä, jossa osasyynä on Google Universal Analyticsin käyttö kävijäseurannassa. Huomautus kohdistuu Helmet-verkkopalveluun.
Päätöksen perusteiksi mainittiin muun muassa se, että Helmet.fi-sivustolla kerättyjä henkilötietoja on siirretty USA:han ilman riittäviä suojatoimia ja että sivukävijöitä ei ole riittävällä tavalla informoitu henkilötietojen siirrosta. Tutustu Tietosuojavaltuutetun toimiston tiedotteeseen. Tutustu lainvoimaiseen päätökseen kokonaisuudessaan.
Voiko Google Analyticsia vielä käyttää?
Google Analytics on ollut viime vuosina tapetilla tietosuojahaasteisiin liittyen. Huoli liittyy lyhykäisyydessään siihen, että Google säilöö keräämiään tietoja USA:ssa sijaitsevilla palvelimilla, joihin tiedustelupalveluilla voi olla pääsy.
Google on vastannut haasteeseen kehittämällä uuden GA4-käyttöliittymän. GA4 onkin huomattavasti vanhaa Universal Analyticsia tietoturvallisempi. Uusi GA4 ei muun muassa enää lainkaan tallenna EU-maissa olevien kävijöiden IP-osoitteita. GA4:ssä on myös oletuksena pois päältä Google Signals, joka voisi kerätä tietoa kävijän Google-profiilista, mikäli hän on samalla selaimella kirjautunut Google-tililleen. GA4:n voi myös määrittää asetuksia sille, miten pitkään tietoa säilötään ja esimerkiksi kieltää tarkan sijainti- ja laitedatan keruun alueittain.
Kuitenkin, myös GA4 tallentaa kävijän laitteelle evästeen, mikäli hän hyväksyy muut kuin välttämättömät evästeet. Tätä kautta välittyvät tiedot siirtyvät USA:ssa sijaitsevalle palvelimelle, mitä kävijä tai verkkosivuston toteuttaja ei voi estää. Google voi hyödyntää keräämiään tietoja omiin tarkoituksiinsa.
Onko organisaationne vaarassa?
Google Analyticsin käytössä on hyvä tiedostaa riski ja vähintäänkin siirtyä käyttämään Universal Analyticsin sijaan GA4:sta, mikäli ei näin vielä ole tehnyt. Universal Analytics lopettaa tiedonkeruun kokonaan 1.7.2023.
Rekisterin pitäjä eli verkkosivuston omistaja on itse vastuussa käyttämänsä analytiikkatyökalun laillisuudesta. Verkkosivujen toimittaja (esimerkiksi Verkkovaraani) ei vastaa sivuilla käytetyn analytiikkatyökalun laillisuudesta.
Käytettävistä evästeistä tulee myös aina ilmoittaa kävijälle nykyisen evästeohjeistuksen mukaisesti.
Mikä on 100 % tietoturvallinen vaihtoehto?
Jos haluaa pelata täysin varman päälle, kannattaa siirtyä käyttämään kävijäseurannan työkalua, joka säilöö kävijädataa ainoastaan EU:n sisällä eikä käytä sitä omiin tarkoituksiinsa tai luovuta sitä toiselle osapuolelle.
Jos kevyt kävijäseuranta riittää, on WordPress-sivuilla mahdollista hyödyntää lisäosaa, joka seuraa kävijämäärää ja säilöö datan vain sivuston omalla palvelimella. Tämä on varsin toimiva ratkaisu kevyeen kävijäseurantaan, joka tarjoaa tiedon kävijöiden lukumäärästä, kävijöistä / sivu ja viittaavista lähteistä.
Laajempaan kävijäseurantaan yksi vaihtoehto on Matomo Analytics, joka säilöö kävijädatan Euroopassa ja antaa dataan täyden omistajuuden vain organisaatiolle itselleen. Myös Matomossa tulee huolehtia siitä, että asetukset ovat muutoin kunnossa tietosuojan kannalta. Matomossa on Google Analyticsin tapaan mahdollista muun muassa anonymisoida IP-osoitteet ja kävijän maantieteellinen sijainti.
Matomo on maksullinen työkalu, jonka hinta on 19 € / kk. Matomo-seuranta on mahdollista asentaa myös omalle palvelimelle, jolloin kiinteää kuukausihintaa ei ole. Tällöin maksu vaaditaan vain tietyistä palveluista kuten WooCommerce-analytiikasta. Tutustu Matomon hinnastoon.