Kolmas kerta toden sanoo – mikä on EU-U.S. Data Privacy Framework ja voiko Google Analyticsia käyttää?

Miksi Google Analytics on ollut laiton EU:ssa?

Viime vuosina ollaan käyty aktiivista keskustelua henkilötietojen siirrosta Yhdysvaltojen ja EU:n välillä. Heinäkuussa 2020 EU:n tuomioistuin antoi päätöksen, joka kumosi silloisen Privacy Shield -sopimuksen EU:n ja Yhdysvaltojen välillä. Tämä johti tilanteeseen, missä yritysten välinen henkilötietojen siirto Atlantin yli muuttui laittomaksi.

Tammikuussa 2022 Itävallan tietosuojavaltuutettu antoi päätöksen, jonka mukaan Google Analyticsin käyttö on laitonta Itävallassa, sillä sen avulla siirtyy sellaista dataa Yhdysvaltoihin, joka on rinnastettavissa henkilötietodataan. Vastaavia päätöksiä ollaan annettu vuosien 2022–2023 aikana myös Ranskassa, Italiassa, Tanskassa, Suomessa, Norjassa ja viimeisimpänä Ruotsissa heinäkuun alussa 2023. Vain viikko Ruotsin päätöksen jälkeen EU:n komissio antoi hyväksyvän päätöksen Yhdysvaltojen tietosuojan riittävyydestä. Näin ollen henkilötietojen siirtäminen EU:n ja Yhdysvaltojen välillä on laillista, jos yritykset ovat sertifioituneet uuden Data Privacy Frameworkin alle.

On tärkeää huomata, että esimerkiksi mediassa keskustelu on pyörinyt pääosin Google Analyticsin ja sen laillisuuden ympärillä. Kyseessä on kuitenkin paljon yhtä analytiikkatyökalua suuremmasta kontekstista ja kaikkien suomalaisten yritysten tulisi olla tietoisia kaikista käytössä olevista digitaalisista työkaluista, joiden kautta henkilötietodataa voi siirtyä sekä siitä, voiko tämä data päätyä EU:n ulkopuolelle.

Data Privacy Framework - mikä on tilanne nyt?

Miksi Google Analytics siis oli laiton EU:n sisällä hetken aikaa? Taustalla on Euroopan Unionin tietosuoja-asetus (GDPR), joka tuli voimaan vuonna 2018. GDPR on henkilötietojen käsittelyä koskeva asetus, jonka tavoitteena on parantaa henkilötietojen suojaa ja tietosuojaoikeuksia.

Asetuksen tavoitteena on antaa henkilöille oikeus päättää siitä, mitä henkilötietoja yritykset saavat hänestä kerätä. Kyseessä on EU-asetus, joten se on sellaisenaan voimassa kaikissa EU-maissa. Tämän asetuksen toteutumisen valvonnasta vastaavat kansalliset tietosuojaviranomaiset ja Suomessa tästä vastaa Tietosuojavaltuutetun toimisto.

GDPR asettaa tiukat vaatimukset myös henkilötietojen siirrosta EU:n ulkopuolelle. Yritysten on varmistettava, että tietojen siirto tapahtuu maihin, joissa tietosuojan taso on riittävä. Jos tietoja siirretään maihin, joissa tietosuoja ei ole EU:n tasolla, yritysten on käytettävä erilaisia suojamekanismeja, kuten vakiosopimuslausekkeita (SCCs).

Yhdysvaltojen ja EU:n välillä ensimmäinen tietosuojasopimus oli vuonna 2000 solmittu Safe Harbor -järjestelmä (Safe Harbor Framework). Sopimus oli voimassa vuoteen 2015 asti, jolloin Euroopan unionin tuomioistuin kumosi sen Schrems I -tapauksen yhteydessä. Tuomioistuin katsoi, että sopimus ei tarjonnut riittävää suojaa EU-kansalaisten henkilötietoja vastaan, erityisesti kun otettiin huomioon Yhdysvaltain hallituksen valtuudet valvoa ja käyttää näitä tietoja.

Tämän jälkeen vuonna 2016 solmittiin Privacy Shield -sopimus (Privacy Shield Framework), jolla pyrittiin tekemään selkeämpiä suojastoimenpiteitä henkilötietojen käsittelyyn viranomaisten osalta Yhdysvalloissa. Kuten aiemmin mainittiin, heinäkuussa 2020 tämä sopimus todettiin riittämättömäksi EU:n tuomioistuimen toimesta Schrems II -tapauksen yhteydessä.

Yhdysvallat ja EU:n komissio ilmoittivat 25.3.2023 päässeensä periaatteelliseen yhteisymmärrykseen uuden transatlanttisen tietosuojakehyksen (EU-U.S. Data Privacy Framework, DPF) suhteen, jonka tarkoituksena on mahdollistaa henkilötietojen siirto alueiden välillä. Sovittu kehys rajaa ennen kaikkea Yhdysvaltojen tiedustelupalvelun pääsyä EU:n alueelta tulevaan henkilötietodataan.

Toinen merkittävä uudistus verrattuna aiempaan Privacy Shield -järjestelyyn on hiljattain perustettu dataa käsittelevä muutoksenhakutuomioistuin (Data Protection Review Court, DPRC), joka on EU:n kansalaisten käytettävissä. Jos DPRC toteaa, että henkilötietoja on kerätty ja siirretty Yhdysvaltoihin laittomasti, sillä on oikeus määrätä kyseisten tietojen poistaminen. Euroopan komissio antoi 10.7.2023 päätöksen, joka toteaa EU:n ja Yhdysvaltojen tietosuojakehyksen tarjoavan riittävän tietosuojan henkilötiedon siirtoa varten.

Yhdysvaltalaiset yritykset voivat sertifioitua tietosuojakehyksen alle, mikä vaatii heiltä tiukkoja toimenpiteitä henkilötietojen hallintaan. Sertifioidut yritykset löytyvät täältä, ja näiden joukossa ovat muun muassa Google, Meta, Microsoft ja Hubspot. Toisin sanoen EU:n sisällä voidaan taas lainvoimaisesti käyttää Yhdysvaltalaisia analytiikkatyökaluja, kuten Google Analyticsia, Facebook Pixeliä, LinkedIn Insight Tagia tai Microsoft Universal Event Tracking Tagia. Viestintäpalvelun X (ent. Twitter) taustalla toimiva X Corporation ei toistaiseksi ole sertifioitunut yritys, joten Twitter Pixelin käyttö on edelleen harmaalla alueella.

On myös hyvä huomata, että tämä sopimus ei mahdollista tiedonsiirtoa julkisen sektorin toimijoiden välillä. Näin ollen julkishallinnollisille yhtiöille esimerkiksi Google Analyticsin käyttö ei ole sallittua. Tähän hyviä vaihtoehtoja voivat olla esimerkiksi Matomo tai Piwik Pro.

Onko esimerkiksi Google Analyticsin käyttö nyt taas turvallista? Mitä riskejä tähän liittyy?

Kuten mainittu, EU:n ja Yhdysvaltojen tietosuojakehys on jo kolmas tietosuojasopimus, eikä ole olemassa mitään takeita siitä, että sopimus olisi tällä kertaa pitävä. Uusi tietosuojakehys on pyrkinyt kuitenkin korjaamaan useita puutteita mitä edellisessä Privacy Shield -sopimuksessa oli. Tietosuojakehystä tarkastellaan säännöllisesti Euroopan komission, eurooppalaisten tietosuojaviranomaisten ja Yhdysvaltojen viranomaisten edustajien kanssa. Ensimmäinen tarkastus tietosuojan riittävyydestä tehdään kesällä 2024.

Mitä tulee varmistaa analytiikkatyökaluja käytettäessä?

Eurooppalaiset yritykset voivat siis käyttää Yhdysvaltalaisia analytiikkatyökaluja, jos kyseisten työkalujen tarjoajat ovat sertifioituneet tuoreen tietosuojakehyksen alle. Tärkeintä on muistaa, että henkilötietoja ei saa kerätä, jos verkkosivuston käyttäjä ei tätä salli. Varmista siis, että sivustollanne on toimiva evästebanneri, jonka avulla käyttäjä saa valita kerätäänkö hänestä tietoa vai ei. Voit lukea tarkemmin aiheesta lisää täältä.

Seuraavaksi on varmistettava, mitä sellaisia työkaluja sivustolla on käytössä, joilla henkilötietoihin rinnastettavaa dataa kerätään ja mihin maihin tämä data päätyy.

Kolmanneksi yritysten olisi hyvä luoda toimintasuunnitelma sen varalle, jos uuden tietosuojakehyksen turva todetaan riittämättömäksi ja sopimus mitätöidään. Kun Privacy Shield -järjestelmä mitätöitiin ja osa EU:n kansallisista tietosuojaviranomaisista antoi päätöksiä Google Analyticsin laittomuudesta suurin osa yhtiöistä selvisi huomatauksilla ja käskyillä poistaa Google Analytics käytöstä. Ruotsissa heinäkuussa 2023 annettu päätös toi kuitenkin esimerkiksi televiestintäalan yritykselle Tele2:lle noin miljoonan euron arvoisen sakon, joten yritysten on punnittava myös taloudellisen sanktion riskiä, jos nykyinen sopimus todettaisiin riittämättömäksi, ja EU ja USA ajautuisivat jälleen kerran sopimuksettomaan tilaan. 

Tuloksekkaan digimarkkinoinnin tekeminen ja EU:n tietosuoja-asetuksen noudattaminen eivät sulje toisiaan pois. Tutustu sisältö- ja digimarkkinoinnin kuukausipalveluumme ja varmista, että yrityksellänne on molemmat kunnossa!