Verkkosivustojen kävijäseuranta on erinomainen ja tarpeellinen työkalu, kun haluat pysyä selvillä siitä, paljonko sivustollasi käy vierailijoita, mistä he sivustollesi tulevat, kauanko he siellä viipyvät ja mitä he sieltä hakevat. Kävijäseuranta kerää ja tallentaa suunnattoman määrän dataa, jonka perusteella kävijöiden käyttäytymistä sivustolla seurataan, analysoidaan ja raportoidaan. Kerätyn datan tietosuojasta on kuitenkin muistettava huolehtia. Lue Solution Architect Janne Rintalan blogista miksi osa kävijäseurannan työkaluista on ongelmallisia, ja miten voit varmistaa, että kävijäseurantasi on tietosuoja-asetuksien mukainen.
Henkilötietojen käsittelystä määrää EU:n tietosuoja-asetus GDPR, missä todetaan mm. seuraavaa: "Henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.”
Osa kävijäseurannan työkaluista tallentaa dataa EU/ETA-alueen ulkopuolelle, esimerkiksi Yhdysvaltoihin. Siellä dataan on pääsy sikäläisillä viranomaisilla ja tietosuoja-asetuksen takaama henkilötietojen suojan taso voi heiketä. Tästä voi aiheutua riskejä henkilöille, joiden tietoja siirretään.
Kävijäseurannassa, kuten monessa muussakin tiedonkeräyksessä, on tiedettävä mitkä ovat henkilötietoja ja mitkä eivät ole. Henkilötietoja ovat mm. nimi, kotiosoite, sähköpostiosoite, IP-osoite ja muut vastaavat henkilön yksilöivät tiedot, ja näitä voidaan evästeiden avulla kerätä.
Siksi tulisikin aina varmistaa, voidaanko evästeen avulla kerätystä datasta, joko sellaisenaan tai yhdistämällä se muihin tietoihin, tunnistaa yksittäinen käyttäjä kohtuullisella vaivalla? Jos vastasit kyllä, pitää evästeellä kerättävää tietoa pitää henkilötietona. Huomioi kuitenkin, että anonymisoidut tiedot eivät ole henkilötietoja.
Vuonna 2016 tuli voimaan EU:n ja USA:n suunnittelema Privacy Shield, jonka piti taata henkilötietojen turvallinen käsittely tietojen siirtyessä EU/ETA-alueelta Yhdysvaltoihin. Privacy Shield kuitenkin mitätöitiin vuonna 2020 ns. SCHREMS II -tapauksen yhteydessä, koska Yhdysvaltain tiedusteluviranomaisilla on oikeus kerätä ja ottaa haltuunsa Yhdysvaltoihin siirrettyä ulkomaalaista henkilöä koskevaa dataa. Schrems II -päätöksen astuttua voimaan, ja Privacy Shieldin mitätöidyttyä, jotkin EU-maat ovat kieltäneet mm. Google Analyticsin käytön. Muiden EU-maiden odotetaan seuraavan perässä.
Esimerkiksi Suomessa apulaistietosuojavaltuutettu on antanut huomautuksen HELMET-kirjastoille Google Analyticsin ja Google Tag Managerin käytöstä. Kirjastojen helmet.fi-sivustoilla käyneistä vierailijoista ja tehdyistä aineistohauista on voinut päätyä tietoja yhdysvaltalaisyritys Googlelle. Helmet.fi-sivustolta kerättyjä henkilötietoja on siirretty Yhdysvaltoihin ilman riittäviä täydentäviä suojatoimia, eikä rekisteröityjä ole informoitu asianmukaisesti henkilötietojen siirroista.
Nykyisin HELMET-kirjastojen kävijäseurannassa käytetään Digia Iiris -palvelun tarjoamaa kävijäseurantaa, joka on GDPR:n mukainen, ja suunniteltu erityisesti tähän tarpeeseen.
Kun haluat varmistua, onko kävijäseurantasi GDPR:n tietosuoja-asetuksen mukainen, tarkista ainakin nämä asiat:
Järjestämme Digia Iiris kävijäseuranta -webinaarin torstaina 15.6.2023 klo 8.30 - 9.00. Tervetuloa kuulemaan aiheesta lisää!
Webinaari järjestetään Teams-kokouksena ja ilmoittautumiset pyydämme 14.6. klo 12 mennessä. Ilmoittautuneille toimitetaan osallistumislinkki ennen tilaisuuden alkua.