Google Analyticsin tietosuojariskit
Mitä tietosuojariskejä Google Analyticsin käyttöön liittyy?
Kun Euroopan unionin tuomioistuin ("CJEU") kumosi EU:n ja Yhdysvaltojen välisen tiedonsiirtoihin käytetyn Privacy Shield -mekanismin, Itävaltalainen voittoa tavoittelematon organisaatio NOYB teki 101 valitusta kaikissa EU-maissa sellaisia organisaatioita vastaan, jotka hyödynsivät Google Analyticsiä verkkosivuillaan.
Siitä lähtien useat valvontaviranomaiset ovat katsoneet, että Google Analyticsin käyttö ei ole GDPR:n mukaista. Yksi esiin nostettu ongelma oli Google Analyticsin yhteydessä tapahtuva henkilötietojen siirto EU:sta Yhdysvaltoihin. Nämä päätökset tekivät selväksi sen, että jokaisen organisaation on tunnettava, minne henkilötietoja virtaa niiden omista verkkopalveluista.
Jos organisaatiosi käyttää edelleen Google Analyticsia tai aikoo ottaa sen käyttöön, on suositeltavaa toteuttaa vähintäänkin riskiarviointi tai jopa tietosuojavaikutusten arviointi. EU:n ja Yhdysvaltojen välinen tietosuojakehys (”DPF”) ei välttämättä ole pitkäkestoinen ratkaisu, eikä se ratkaise kaikkia Google Analyticsiin liittyviä ongelmia. Hyvin laadittu dokumentaatio on avain tietoisten päätösten tekemiseen ja on varmasti avuksi tilanteissa, joissa valvontaviranomaiset lähestyvät selvityspyynnöllä.
Keskity riskiarviossasi ainakin seuraaviin asioihin:
Google on yritys, joka kuuluu Yhdysvaltojen tiedustelulainsäädännön piiriin. Tämä tarkoittaa, että vaikka analytiikan avulla kerättyjä henkilötietoja säilytettäisiin EU:ssa, Google on velvollinen luovuttamaan henkilötietoja edelleen Yhdysvaltojen viranomaisille. Siirtoja koskevassa riskiarvioinnissa sinun on arvioitava, mitä Yhdysvaltain lakeja sovelletaan, ja mitkä niistä mahdollisesti antavat Yhdysvaltain viranomaisille pääsyn organisaatiosi keräämiin tietoihin. Koska GDPR:n 46 artiklan siirtomekanismit eivät ole tehokkaita estämään Yhdysvaltain viranomaisia pääsemästä tietoihisi, sinun on tunnistettava ja toteutettava tehokkaat täydentävät toimenpiteet. Nämä toimenpiteet voivat olla sopimuksellisia, teknisiä tai organisatorisia.
**Oletko toteuttanut asianmukaisen suostumuskyselyn Google Analyticsin osalta?**Koska Google Analyticsin käyttö liittyy tietojen tallentamiseen päätelaitteille ja tällaisten tallennettujen tietojen käyttämiseen, sinun on kiinnitettävä erityistä huomiota sähköisen viestinnän tietosuojadirektiiviin, eli ePrivacy direktiiviin. On epätodennäköistä, että Google Analytics kuuluisi 5 artiklan 3 kohdassa säädettyjen poikkeusten piiriin, joten sinun on edelleen pyydettävä suostumus verkkosivustosi vierailijoilta. Varmista, ettei Google Analyticsiin liittyviä evästeitä, javaskriptejä tai vastaavia ladata ennen suostumuksen saamista. Jos kuitenkin luokittelet Google Analyticsin "välttämättömäksi", varmista, että dokumentoit etukäteen, miksi Google Analyticsin käyttö on 'välttämätöntä' pyydetyn palvelun toteuttamiseksi.
**Kiinnitä erityistä huomiota Googlen tietojenkäsittelysopimuksen sisältöön.**Kiinnitä huomiota Googlen rooliin henkilötietojen käsittelyssä. Toimiiko Google henkilötietojen käsittelijänä, rekisterinpitäjänä, yhteisrekisterinpitäjänä vai jopa useammassa roolissa yhtä aikaa? Vaikka Google tarjoaakin asiakkailleen tietojenkäsittelyä koskevan sopimuksen, Googlen rooli käsittelijänä näyttäisi kattavan vain "tunnisteet", kun taas varsinainen käyttäytymistieto on jätetty pois sopimuksen piiristä. Tämä herättää luonnollisesti epäilyksen siitä, käyttääkö Google organisaatiosi keräämiä tietoja myös omiin tarkoituksiinsa rekisterinpitäjänä.
**Miten toimit läpinäkyvästi artiklojen 12 ja 13 edellyttämällä tavalla?**Onko suostumuskyselyssä riittävää käyttää yleistä mainintaa, kuten "käytämme henkilötietojasi analytiikkaan", vai tulisiko sinun kuvata tätä käsittelyä tarkemmin tarjoten erilaisia esimerkkejä varmistaaksesi, että henkilötietojen käsittely on asianmukaista, läpinäkyvää ja täyttää pätevän suostumuksen edellytykset?
Lopuksi, varmista, että arvioit säännöllisesti tunnistamiasi riskejä ja toteuttamiasi toimenpiteitä. Asiat muuttuvat usein, varsinkin Googlen kohdalla. Google saattaa julkaista jälleen uuden Google Analytics -version tai tarjota käyttöösi täydentäviä lisäsuojatoimia tietosuojan tason parantamiseksi ja riskien pienentämiseksi.
Haluatko oppia miten Google Analyticsiin tehdään riskiarviointi?
Me PrivacyDesignerilla autamme päivittäin erilaisia organisaatioita toteuttamaan riskiarviointeja erilaisille tuotteille ja palveluille. Tuotamme esimerkkejä tietosuojan vaikutusarvioinneista ja muista tietosuojaan liittyvistä riskiarvioinneista asiakkaillemme, joiden avulla he voivat aloittaa arvioinnit valmiiden tietovirtakuvausten ja tunnistettujen riskien avulla.