Viekö kävijäseuranta datasi Yhdysvaltain tiedusteluviranomaisille?

Verkkosivustojen kävijäseuranta on erinomainen ja tarpeellinen työkalu, kun haluat pysyä selvillä siitä, paljonko sivustollasi käy vierailijoita, mistä he sivustollesi tulevat, kauanko he siellä viipyvät ja mitä he sieltä hakevat. Kävijäseuranta kerää ja tallentaa suunnattoman määrän dataa, jonka perusteella kävijöiden käyttäytymistä sivustolla seurataan, analysoidaan ja raportoidaan. Kerätyn datan tietosuojasta on kuitenkin muistettava huolehtia. Lue Solution Architect Janne Rintalan blogista miksi osa kävijäseurannan työkaluista on ongelmallisia, ja miten voit varmistaa, että kävijäseurantasi on tietosuoja-asetuksien mukainen.

Henkilötietojen käsittelystä määrää EU:n tietosuoja-asetus GDPR, missä todetaan mm. seuraavaa: "Henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.” 

Osa kävijäseurannan työkaluista tallentaa dataa EU/ETA-alueen ulkopuolelle, esimerkiksi Yhdysvaltoihin. Siellä dataan on pääsy sikäläisillä viranomaisilla ja tietosuoja-asetuksen takaama henkilötietojen suojan taso voi heiketä. Tästä voi aiheutua riskejä henkilöille, joiden tietoja siirretään.

Kävijäseurannassa, kuten monessa muussakin tiedonkeräyksessä, on tiedettävä mitkä ovat henkilötietoja ja mitkä eivät ole. Henkilötietoja ovat mm. nimi, kotiosoite, sähköpostiosoite, IP-osoite ja muut vastaavat henkilön yksilöivät tiedot, ja näitä voidaan evästeiden avulla kerätä. 

Siksi tulisikin aina varmistaa, voidaanko evästeen avulla kerätystä datasta, joko sellaisenaan tai yhdistämällä se muihin tietoihin, tunnistaa yksittäinen käyttäjä kohtuullisella vaivalla? Jos vastasit kyllä, pitää evästeellä kerättävää tietoa pitää henkilötietona. Huomioi kuitenkin, että anonymisoidut tiedot eivät ole henkilötietoja.

Miksi osa kävijäseurannan työkaluista on nyt ongelmallisia?

Vuonna 2016 tuli voimaan EU:n ja USA:n suunnittelema Privacy Shield, jonka piti taata henkilötietojen turvallinen käsittely tietojen siirtyessä EU/ETA-alueelta Yhdysvaltoihin. Privacy Shield kuitenkin mitätöitiin vuonna 2020 ns. SCHREMS II -tapauksen yhteydessä, koska Yhdysvaltain tiedusteluviranomaisilla on oikeus kerätä ja ottaa haltuunsa Yhdysvaltoihin siirrettyä ulkomaalaista henkilöä koskevaa dataa. Schrems II -päätöksen astuttua voimaan, ja Privacy Shieldin mitätöidyttyä, jotkin EU-maat ovat kieltäneet mm. Google Analyticsin käytön. Muiden EU-maiden odotetaan seuraavan perässä.

Esimerkiksi Suomessa apulaistietosuojavaltuutettu on antanut huomautuksen HELMET-kirjastoille Google Analyticsin ja Google Tag Managerin käytöstä. Kirjastojen helmet.fi-sivustoilla käyneistä vierailijoista ja tehdyistä aineistohauista on voinut päätyä tietoja yhdysvaltalaisyritys Googlelle. Helmet.fi-sivustolta kerättyjä henkilötietoja on siirretty Yhdysvaltoihin ilman riittäviä täydentäviä suojatoimia, eikä rekisteröityjä ole informoitu asianmukaisesti henkilötietojen siirroista.

Varmista, että kävijäseuranta on GDPR:n tietosuoja-asetuksien mukainen

Nykyisin HELMET-kirjastojen kävijäseurannassa käytetään Digia Iiris -palvelun tarjoamaa kävijäseurantaa, joka on GDPR:n mukainen, ja suunniteltu erityisesti tähän tarpeeseen.
 
Kun haluat varmistua, onko kävijäseurantasi GDPR:n tietosuoja-asetuksen mukainen, tarkista ainakin nämä asiat:

• Tiedät missä dataasi säilytetään
• Tiedät kuka dataasi käsittelee
• Älä anna dataasi kolmansien osapuolten käyttöön
• Älä tallenna henkilötietoja (esim. IP-osoitteet)
• Älä kerää tarpeetonta dataa evästeillä
• Anonymisoi henkilötiedot
• Käytä sellaista kävijäseurannan työkalua, jonka tiedät tallentavan seurantadatan EU/ETA-alueella, ja joka ei luovuta sitä muualle
• Ylläpidä kävijäseurantasi itse tai osta GDPR:n täyttävä vaivaton SaaS-palvelu
  
  Yleisen tietosuoja-asetuksen noudattamatta jättäminen voi johtaa merkittäviin sakkoihin. Sakkojen suuruus on joidenkin rikkomusten kohdalla jopa 20 miljoonaa euroa tai 4 prosenttia liikevaihdosta.
  
  Jos koet epävarmuutta siitä, onko kävijäseurantanne tarkoituksen ja sääntöjen mukainen, kannattaa hyödyntää asiantuntijoiden apua. Tarjolla on myös palveluita, joiden avulla organisaatioiden ei enää tarvitse huolehtia määräysten noudattamisesta, eikä olla epävarmoja siitä, onko kaikki säädösten mukaista. 
  
  Esimerkkinä Digia Iiris kävijäseuranta -palvelu:
  
  
• Tarjoaa Matomo-kävijäseurantaratkaisun suomalaisesta konesalista
• On GDPR:n ja tietosuojavaatimusten mukainen
• Tallentaa keräämänsä datan Suomessa
• Ei luovuta eikä siirrä dataa ulkopuolisille osapuolille, Yhdysvaltoihin tai minnekään muualle
• Palvelu toimitetaan kokonaisuudessaan Suomesta
• Kaikki Digia Iiris kävijäseurannan keräämä data on 100%:sti asiakkaan omistamaa ja asiakas päättää mitä sillä tehdään
• Mahdollistaa myös täysin evästeettömän seurannan
• Käyttöönotto onnistuu nopeimmillaan päivässä

Ilmoittaudu mukaan webinaariin

Järjestämme Digia Iiris kävijäseuranta -webinaarin torstaina 15.6.2023 klo 8.30 - 9.00. Tervetuloa kuulemaan aiheesta lisää!

Webinaari järjestetään Teams-kokouksena ja ilmoittautumiset pyydämme 14.6. klo 12 mennessä. Ilmoittautuneille toimitetaan osallistumislinkki ennen tilaisuuden alkua.