Berggren | Blogi

Google Analytics kielletty Itävallassa? Myrskypilviä taivaanrannassa

Kirjoittanut Arttu Ahava | 25.1.2022

Itävallan tietosuojaviranomainen DSB (Datenschutzbehörde) on 22.12.2021 antanut potentiaalisesti mullistavan ratkaisun, jossa Google Analytics -palvelun on katsottu rikkovan EU:n yleisen tietosuoja-asetuksen (GDPR) henkilötietojen siirtoon liittyviä säännöksiä. Ratkaisu ei ole vielä lopullinen, mutta se voi vaarantaa koko Google Analytics -palvelun sekä vastaavien analytiikkapalvelujen kuten Facebook Connectin käytön Itävallassa – ja laajemminkin EU:ssa.

Itävaltalainen tietosuoja-aktivisti Max Schrems ja hänen organisaationsa nyob ovat 2020 tehneet yli 100 valitusta lähes kaikkien EU:n jäsenmaiden tietosuojaviranomaisille Google Analytics ja Facebook Connect -palveluiden käytöstä erinäisillä verkkosivuilla. Omien verkkosivujensa perusteella nyob on jättänyt kaksi tällaista valitusta Suomessakin, MTV Internetiä ja Danske Bank A/S:aa koskien. Itävallassa on nyt ratkaistu ensimmäinen tällainen valitus pitkälti nyobin vaatimusten mukaisesti. Ratkaisussa DSB katsoi, että Google Analytics -palvelulla oli kerätty eurooppalaisten rekisteröityjen henkilötietoja, joita oli käsitelty USA:sta käsin ilman GDPR:n mukaista siirtoperustetta.

GDPR:n mukainen siirtoperuste on oltava olemassa, kun henkilötietoja siirretään EU/ETA-alueen ulkopuolelle ns. kolmanteen maahan, jota EU Komissio ei ole tunnustanut vastaavan suojan tason maaksi. Sama pätee myös silloin, kun EU/ETA-alueella sijaitsevia henkilötietoja käsitellään ns. kolmannesta maasta käsin. Yleisin siirtoperuste on joko EU/ETA-aluetta vastaava tietosuojan taso, tai komission laatimat vakiolausekkeet. Tässä tapauksessa USA:ssa ei ole vastaavaa tietosuojan tasoa, ja toisaalta vakiolausekkeiden käyttöä ei voitu hyväksyä johtuen USA:n vakoiluviranomaisten mahdollisuudesta päästä käsiksi käsiteltäviin tietoihin.

DSB:n päätös on oikeastaan luonnollista jatkumoa niin sanotusta Schrems II -ratkaisusta (C-311/18) vuodelta 2020, jossa ensinnäkin mitätöitiin EU:n ja USA:n välillä voimassa ollut henkilötietojen siirtosopimus, nk. Privacy Shield, ja toiseksi kyseenalaistettiin henkilötietojen siirrot USA:han ylipäätään sen johdosta, että USA:n vakoiluviranomaisilla on paikallisen lainsäädännön nojalla käytännössä rajoittamaton oikeus päästä tarkastelemaan EU-kansalaisten USA:han siirtyviä henkilötietoja.

DSB katsoi 2021 joulukuussa antamassaan päätöksessä, että Google oli USA:n lainsäädännön tarkoittama tietoliikennepalveluiden tarjoaja, joka oli vakoiluviranomaisten toimivallan piirissä. Googlen esille tuomat vakiolausekkeet sekö henkilötietoja väitetysti turvaavat lisäsuojatoimet (supplementary measures) eivät DSB:n näkemyksen mukaan olleet tehokkaita, koska Googlen olisi tiedusteluviranomaisten pyynnöstä joka tapauksessa annettava viranomaisille pääsy hallussaan oleviin tietoihin. Näillä perusteilla DSB katsoi, että laillista siirtoperustetta ei ole, ja Google Analytics palvelua ei voi käyttää Itävallassa. Mahdolliseen seuraamusmaksuun liittyvät tiedot eivät ole osa päätöksen julkista selostetta, mutta varsin todennäköisesti Googlelle määrättiin jonkinlainen sakko.

Jäämme odottamaan tuleeko muistakin EU maista, etenkin Suomesta, vastaavanlaisia päätöksiä. Joka tapauksessa Google Analyticsia verkkosivuillaan käyttävien yritysten olisi nyt tärkeää käydä läpi omia tietosuojakäytäntöjään, ja muun muassa punnita sitä, olisiko vastaava analytiikkapalvelu mahdollista saada EU:ssa, ETA -alueella, tai muuten korkean tietosuojan tason tarjoavassa maassa sijaitsevalta palveluntarjoajalta.

Blogin kirjoittajat asiantuntijamme Arttu Ahava ja Suvi Julin vastaavat mielellään kaikkiin blogista heränneisiin kysymyksiin.