Päivitetty 30.6.2025 (korjattu Meta Pixel -työkalun nimi ja lisätty aiempia päätöksiä, jotka koskevat Google Analyticsin käyttöä)
Huolimatonta verkkosivuanalytiikkaa
Suomen tietosuojasuojavaltuutettu määräsi toukokuussa 2025 Yliopiston Apteekille (YA) 1,1 miljoonan euron suuruisen seuraamusmaksun EU:n yleisen tietosuoja-asetuksen rikkomisesta. Kyseessä on yksi suurimmista Suomessa määrätyistä tietosuojasakoista, joka osoittaa viranomaisen ottavan asian hyvin vakavasti. Päätös ei ole vielä lainvoimainen, ja YA on ilmoittanut valittavansa siitä hallinto-oikeuteen.
Tapauksessa oli kysymys Yliopiston Apteekin harjoittamasta verkkosivuanalytiikasta ja muusta seurannasta. YA oli vuosina 2018–2022 käyttänyt verkkoapteekissaan työkaluja kuten Google Analytics, Google Tag Manager, Google Maps, Google Fonts ja YouTube sekä Meta Pixel (Facebookin emoyhtiön tarjoama seurantatyökalu), jotka kaikki keräävät erilaisia tietoja verkkosivuston käyttäjistä. Työkalujen välityksellä Googlelle ja Metalle oli vuotanut tietoja verkkokaupan asiakkaista.
Asiassa ei ollut kysymys “puhtaasta” tietovuodosta, jossa esimerkiksi asiakkaiden henkilötunnuksia, maksutietoja tai reseptitietoja olisi päätynyt asiattomien käsiin. Sen sijaan siinä oli pääasiassa kysymys tiedoista, joita YA:n verkkokauppa automaattisesti lisäsi eri sivujen URL-osoitteisiin ja niiden taustalla liikkuviin HTTP-pyyntöihin. Nämä sisälsivät tunnisteita, joista ilmeni muun muassa käyttäjän selailemia ja lopulta ostamia lääkkeitä.
Tämän lisäksi työkalut keräsivät erilaisia päätelaitetunnisteita ja teknisiä tietoja kuten käyttäjän käyttöjärjestelmän ja selaimen tiedot, näytön koko ja värisyvyys. Tietoja käytetään tavanomaisesti verkkosivuston kävijäliikenteen analysoimiseen ja työkalujen toiminnan optimoimiseen, mutta mainosteknologiayhtiöt käyttävät niitä myös käyttäjien tunnistamiseen ja seuraamiseen internetissä mainosliiketoiminnassaan.
Kun käyttäjä sitten siirtyi sivulta toiselle verkkokaupassa, tiedot välittyivät Googlelle, Metalle ja muille. Yhtiöt pystyivät käyttämään tietoja YA:n käyttäjien yksilöimiseen ja tunnistamiseen sekä tekemään johtopäätöksiä näiden lääketarpeista ja viime kädessä terveydentilasta.
(Tietosuojavaltuutettu katsoi myös, että asia käy vielä selvemmäksi siinä tapauksessa, että käyttäjä on samalla kirjautuneena Googlen, Metan tai muiden palveluihin. Tällöin yhtiöt voivat tunnistaa käyttäjän suoraan yhdistämällä analytiikkatietoja käyttäjätilin tietoihin. Selkeyden vuoksi en tarkastele tätä kysymystä tässä kirjoituksessa.)
Analytiikkatyökaluja käyttäessään Yliopiston Apteekki oli laiminlyönyt huolehtia lukuisista tietosuojalainsäädännön mukaisista velvoitteistaan. Tietosuojavaltuutetun mukaan YA:n olisi tullut ensinnäkin huomioida riskit, joita syntyy käyttäjille, kun heidän riskialttiita henkilötietojaan jaetaan ulkopuolisille tahoille.
Toiseksi Yliopiston Apteekki ei ollut ottanut huomioon, mitä henkilötietoja Googlelle, Metalle ja muille oli verkkosivuston käyttäjistä luovutettu, eikä ryhtynyt riittäviin toimenpiteisiin henkilötietojen asianmukaisen suojauksen varmistamiseksi. Viranomaisen mukaan yritys oli varsinkin epäonnistunut sen huomioimisessa, että seurantateknologioiden tarjoajat pystyvät tunnistamaan verkkosivuston käyttäjiä lukuisin eri tavoin, joko suoraan tai yhdistelemällä eri analytiikkatietoja.
“Seurantateknologioiden tarjoajat yhdistelevät lukuisia datapisteitä muun muassa käyttäjän päätelaitteesta, selainasetuksista ja selailumieltymyksistä luodakseen hänelle niin sanotun digitaalisen sormenjäljen.”
Kolmanneksi Yliopiston Apteekki oli laiminlyönyt ottaa huomioon, että sillä ei ole ollut tosiasiallista mahdollisuutta valvoa sitä, mihin tarkoituksiin Google, Meta ja muut mainosteknologiafirmat käyttävät verkkosivustolta saamiaan henkilötietoja. Yritys ei ollut myöskään arvioinut vaihtoehtoisten analytiikkatyökalujen käyttöä, jotka paremmin suojaavat käyttäjien oikeuksia ja vapauksia, tai pyrkinyt anonymisoimaan tietoja ennen niiden luovuttamista ulkopuolisille tahoille.
Artikkeli jatkuu kuvan alla
Google Analyticsin käyttö verkkosivustolla synnyttää merkittäviä riskejä
Google tunnistaa asiakkaasi
Perustellessaan Googlen ja Metan seurantateknologioiden käyttöä Yliopiston Apteekki esitti, että kyseiset työkalut on tarkoitettu vain anonyymiin verkkosivuanalytiikkaan ja että näille yhtiöille ei ole siirtynyt verkkosivuston käyttäjistä mitään henkilötietoja. YA:n mukaan yleensä ainoa ulkopuolisille tahoille siirtynyt tieto, joka voisi olla henkilötieto, on ollut käyttäjän IP-osoite. Tällöinkään Google tai Meta ei voisi tosiasiassa tunnistaa käyttäjää, koska IP-osoitteen yhdistäminen tiettyyn henkilöön vaatisi pääsyä internetoperaattorin asiakastietoihin tai viranomaisrekistereihin.
Tietosuojavaltuutettu ei hyväksynyt Yliopiston Apteekin perusteluja alkuunkaan. Viranomainen, joka oli teknisten asiantuntijoiden avulla käynyt YA:n verkkokaupan toiminnan läpi juurta jaksain, totesi, että verkkosivustolta vuotaa lukuisia henkilötietoja ulkopuolisille palveluntarjoajille.
Eräs merkittävä johtopäätös, jonka tietosuojavaltuutettu esitti, koski Googlen, Metan ja muiden analytiikkafirmojen kykyä tunnistaa verkkosivuston käyttäjiä erilaisista tiedoista. Viranomainen totesi, että IP-osoite on vain yksi käyttäjän yksilöimisessä käytetty arvo, joka sekään ei ole välttämätön tieto. Seurantateknologioiden tarjoajat yhdistelevät lukuisia datapisteitä muun muassa käyttäjän päätelaitteesta, selainasetuksista ja selailumieltymyksistä voidakseen profiloida hänet ja luodakseen hänelle niin sanotun digitaalisen sormenjäljen.
Digitaalinen sormenjälki on jokaiselle yksilöllinen kokoelma erilaisia laite- ja käyttäytymistietoja. Sormenjälki seuraa käyttäjää kaikkialla internetissä, ja sen avulla yksittäinen henkilö voidaan tunnistaa hyvinkin tarkasti. Jos haluat nähdä, miltä sinun digitaalinen sormenjälkesi näyttää, voit tehdä esimerkiksi amiunique.org -sivuston nopean ja maksuttoman testin.
Google ja muun maksuttomia analytiikkatyökaluja tarjoavat mainosteknologiafirmat käyttävät työkalujen välittämiä tietoja ennen kaikkea omiin tarkoituksiinsa. Yritys, joka ottaa työkalut käyttöönsä, ei voi vaikuttaa siihen, mihin tarkoituksiin tietoja käytetään. Tietoturva-alalla kuulee usein sanottavan: “If you’re not paying for the product, you are the product”. Maksuttomat analytiikkatyökalut eivät ole tosiasiassa maksuttomia, vaan niitä tarjoavat mainosteknologiayhtiöt saavat vastikkeeksi asiakkaidesi henkilötietoja.
“Mainosteknologiayhtiöiden työkalut ovat nykypäivänä hyvin yleisiä, eikä niiden käyttäminen ole kiellettyä. Jokaisen yrityksen, joka niitä käyttää, on kuitenkin tunnistettava tavat, joilla henkilötietoja valuu kyseisiä työkaluja tarjoaville yhtiöille. Yrityksen tulee myös ymmärtää tietojen jakamiseen liittyvät riskit ja velvoitteet.“
Tietosuojavaltuutetun päätös avaa nyt ensimmäistä kertaa suomalaisessa viranomaiskäytännössä hyvin seikkaperäisesti sen, minkä jokainen tietoturva-ammattilainen tietää: Google kyllä tunnistaa sinut. Kyseisen yrityksen lähes koko liiketoiminta perustuu siihen, että se pystyy seuraamaan ja yksilöimään yksittäisiä käyttäjiä kaikkialla internetissä. Verkkosivustot, joka ovat ottaneet käyttöön Googlen maksuttomia palveluita ja toimintoja, antavat yleensä yhtiölle pääsyn käyttäjiensä laitetietoihin, selailumieltymyksiin ja muihin tietoihin, joiden avulla digitaalista sormenjälkeä voidaan rakentaa.
Tapaus on merkittävä myös siksi, että se osoittaa, kuinka vähäiseltäkin tuntuva tietojen jakaminen voi lopulta synnyttää valtavia vastuita rekisterinpitäjälle. Yliopiston Apteekki ei ollut vuotanut verkkokauppansa käyttäjien luottamuksellisia tietoja asiattomille, vaan tietovuodossa oli kyse pääasiassa verkkokaupan automaattisesti jakamista lääkkeiden nimistä ja muista tunnisteista, joista voitiin muuhun analytiikkadataan yhdistettynä tehdä päätelmiä yksittäisen ihmisen lääkeostoksista ja terveydentilasta.
Tästä syystä jokaisen yrityksen kannattaa pysyä aina ajan tasalla siitä, mitä henkilötietoja se käsittelee asiakkaistaan ja muista sidosryhmistä ja mitä tietoja se luovuttaa ulkopuolisille tahoille. Kun opastan yrityksiä tietosuojalainsäädännön velvoitteista, korostan aina, että kun näitä kysymyksiä tarkastellaan riittävän tarkasti, vastaukset saattavat yllättää. Yliopiston Apteekin tapaus on erinomainen esimerkki siitä, mitä tarkoitan.
Artikkeli jatkuu kuvan alla
Google ja Meta haluavat kohdistaa personoitua mainontaa käyttäjillesi
Jokaisen yrityksen täytyy tunnistaa seurantateknologioiden riskit
Suuri osa yrityksistä käyttää verkkosivustoillaan joitakin Googlen palveluita tai työkaluja. Niiden etuna ovat maksuttomuus ja helppokäyttöisyys. Google Analytics on suosittu, koska sen saa käyttöön heti ja ilman suuria ponnisteluja. Google Ads tarjoaa helpon pääsyn verkkomainontaan ja konversioiden seuraamiseen ilman sen suurempaa teknistä osaamista. Google Mapsilla on helppo lisätä verkkosivustolle kartta, jolla asiakas löytää tiensä yrityksen toimipaikkoihin. Google Fonts avaa pääsyn valtavaan määrään maksuttomia fontteja. YouTube-videoiden upottaminen verkkosivustolle on helppoa ja ennen kaikkea ilmaista.
Sosiaalisessa mediassa Meta puolestaan tarjoaa lukuisia maksuttomia alustoja, jotka usein löytävät tiensä yritysten verkkosivustoille erilaisten pluginien ja moduulien muodossa. Facebook-sivun linkittäminen, Instagram-päivitysten näyttäminen ja WhatsApp-painikkeen lisääminen onnistuvat helposti. Facebook-mainosten konversioiden seuraaminen tapahtuu vaivatta valmiina annetun seurantapikselin avulla.
Mainosteknologiayhtiöiden työkalut ovat nykypäivänä hyvin yleisiä, eikä niiden käyttäminen ole kiellettyä. Jokaisen yrityksen, joka niitä käyttää, on kuitenkin tunnistettava tavat, joilla henkilötietoja valuu kyseisiä työkaluja tarjoaville yhtiöille. Yrityksen tulee myös ymmärtää tietojen jakamiseen liittyvät riskit ja velvoitteet.
Tietosuojavaltuutetun päätöksen tapauksessa Yliopiston Apteekin vastaus osoitti poikkeuksellista tietämättömyyttä siitä, millä tavoin seurantaa ja käyttäjien tunnistamista nykyään internetissä toteutetaan. Väite siitä, että ainoastaan IP-osoite voisi olla tieto, jolla käyttäjä voidaan tunnistaa, on pitänyt paikkansa ehkä viimeksi 1990-luvulla.
Verkkoseuranta on kehittynyt yleisen internetin alkuajoista merkittävästi, ja nykyään suuret mainosteknologiayhtiöt tekevät kaikkensa tunnistaakseen käyttäjiä kaikkialla. Ne pystyvät yhdistelemään hyvin vähäiseltäkin tuntuvia tietoja, kuten selaimen versionumeroita, kielivalintoja, aikavyöhykevalintoja ja kymmeniä ellei satoja muita tietotyyppejä, kunnes verkkosivustoa selaava käyttäjä tunnistetaan hyvin suurella tarkkuudella.
Tästä johtuen jokaisen yrityksen, joka avaa kyseisille mainosteknologiayhtiöille pääsyn omien verkkosivustojensa käyttäjien tietoihin, on ymmärrettävä, että ne jakavat käyttäjiensä henkilötietoja kyseisille yhtiöille ja mahdollistavat asiakkaidensa profiloinnin.
Lopuksi Yliopiston Apteeksin tapaus antaa selkeää viitettä siitä, että tietosuojavaltuutettu ottaa verkossa tapahtuvan seurannan hyvin vakavasti. Vaikka kyseessä on Suomen suurin apteekkiketju, ja vaikka tietovuoto koski myös tietoja, joiden perusteella on mahdollista tehdä joitakin johtopäätöksiä ihmisten terveydentilasta, muutaman sadantuhannen euron suuruinen seuraamusmaksu olisi varmasti ollut riittävä opetus. Se, että viranomainen päätti sen sijaan määrätä YA:lle yhden Suomen suurimmista tietosuojasakoista, osoittaa selvästi, että se ei todella katso verkkosivuston käyttäjien tietojen vuotamista monikansallisille mainosteknologiafirmoille hyvällä.
Jokaisen yrityksen, joka käyttää verkkosivustollaan Googlen tai Metan työkaluja ja seurantateknologioita, kannattaa pitää tarkasti huolta siitä, että työkalujen käyttö noudattaa lakia, ja seurata muutoksia laintulkinnassa. Tapaus osoittaa, että kyseessä ei ole vähäinen rikkomus.
Nyt tarkasteltu päätös ei ole suinkaan ensimmäinen, jossa Google Analyticsin käyttö on todettu lainvastaiseksi. Vuonna 2022 muun muassa Itävallan ja Ranskan tietosuojaviranomaiset katsoivat, että analytiikkatietojen siirtyminen Google Analyticsin kautta Yhdysvaltoihin rikkoi lähtökohtaisesti EU:n yleistä tietosuoja-asetusta, koska Yhdysvaltain lait eivät tarjoa riittävää suojaa henkilötiedoille.
Viranomaisten huoli koski ennen kaikkea sitä, että Google ja muut amerikkalaiset yritykset ovat velvoitettuja antamaan esteettömän ja reaaliaikaisen pääsyn kaikkiin henkilötietoihin, joita yrityksillä on eurooppalaisista käyttäjistään.
Sittemmin EU:n ja Yhdysvaltojen välillä on astunut voimaan niin kutsuttu Data Privacy Framework -sopimus (DPF), joka ainakin toistaiseksi poistanee nämä huolet. DPF:n laillisuus on kuitenkin kyseenalaistettu EU:n tuomioistuimissa, mikä voi johtaa sopimuksen kumoamiseen lähivuosina (niin kuin sen edeltäjälle, EU:n ja Yhdysvaltain väliselle Privacy Shield -järjestelylle, tapahtui vuonna 2020).
Vuonna 2022 Suomen tietosuojavaltuutettu määräsi Helsingin, Vantaan ja Espoon kaupunkien kirjastot (Helmet) hävittämään Google Analyticsilla kerätyt tiedot, koska ne oli kerätty ja siirretty Yhdysvaltoihin ilman verkkosivuston käyttäjän suostumusta ja puuttellisin suojaustoimenpitein, ja käyttäjiä ei ollut informoitu seurannasta riittävän selkeästi. Tietosuojavaltuutettu ei tuolloin määrännyt seuraamusmaksua, koska Suomen tietosuojalain mukaan tietosuojasakkoa ei voida määrätä kunnalle, viranomaiselle tai muulle julkishallinnon toimijalle.
Vuonna 2023 Suomen tietosuojavaltuutettu määräsi Ilmatieteen laitoksen poistamaan henkilötiedot, jotka oli kerätty käyttäen Google Analyticsia ja reCAPTCHAa (myös Googlen tuote). Myöskään tuolloin ei määrätty seuraamusmaksua, koska Ilmatieteen laitos on julkishallinnon toimija.
Vuonna 2023 Ruotsin tietosuojavaltuutettu määräsi operaattorijätti Tele2:lle 12 miljoonan ruotsin kruunun (n. miljoona euroa) ja verkon markkinapaikalle CDONille 300 000 ruotsin kruunun (n. 27 000 euroa) seuraamusmaksuja, koska yhtiöt eivät olleet huolehtineet riittävällä tavalla Google Analyticsin keräämien tietojen turvallisuudesta, kun tiedot siirtyivät Googlen toimesta automaattisesti Yhdysvaltoihin.
Näin huolehdit verkkoanalytiikan lainmukaisuudesta
Vaikka Yliopiston Apteekin tapaus koski erityisten salassapitovelvoitteiden alaista apteekkitoimintaa ja riskialttiiden lääketietojen vuotamista Googlelle, Metalle ja muille ulkopuolisille tahoille, tietosuojavaltuutetun päätös avasi oven uudenlaiselle tulkintalinjalle. Ratkaisusta seuraa, että jokaisen yrityksen, joka käyttää ulkopuolisten mainosteknologiayhtiöiden tarjoamia analytiikkatyökaluja, tulee kiinnittää huomiota riskeihin, joita työkalujen käytöstä seuraa.
Jos yrityksesi käyttää verkkosivuillaan Google Analyticsia, Metan analytiikkapikseleitä tai mitä tahansa seurantateknologioita, on hyvä tehdä niistä riskianalyysi. Analyysissä tulee huomioida kaikki tietosuojalainsäädännön vaatimukset, jotka asiaa koskevat. Vaikka yrityksesi ei toimisikaan apteekkialalla tai käsittelisi asiakkaiden erityisen riskialttiita tietoja, analytiikkatyökalujen käyttö synnyttää aina riskejä ja velvoitteita.
Tietosuojavaltuutetun päätös tarkoittaa ennen kaikkea sitä, että jokaisen yrityksen, joka käyttää mainosteknologiafirmojen tarjoamia verkkosivuanalytiikkatyökaluja, on ymmärrettävä, että työkalut luovuttavat käyttäjien lukuisia henkilötietoryhmiä automaattisesti ulkopuolisille tahoille, ja noudatettava siirtoja koskevia lain määräyksiä.
Vastuu teknologioiden lainmukaisuudesta on yksin sinulla. Vaikka mainosteknologiayhtiöt antavat työkalut käyttöösi, sinun tulee huolehtia siitä, että niiden käyttö on kaikin puolin sallittua. Google, Meta ja muut imevät sivustolta kaiken tiedon, minkä pystyvät, joten on työkaluja käyttävän yrityksen tehtävänä rajoittaa tietojen määrää vain siihen, mikä on lain mukaan sallittua. (Tämä käy myös ilmi kyseisten yhtiöiden käyttöehdoista, joissa vastuu vieritetään yksin sinulle.)
Ennen verkkoanalyyttikkatyökalujen käyttöönottoa erityisesti seuraavat kysymykset on tärkeää käydä läpi:
- Tiedämmekö, mitä verkkosivustollamme tapahtuu? Laki velvoittaa olemaan kaiken aikaa selvillä siitä, kenellä on pääsy verkkosivustosi käyttäjien henkilötietoihin. Verkkosivustoille asennetaan todella usein kaikenlaisia ulkopuolisia palveluita ja työkaluja miettimättä sitä, mitä se merkitsee yrityksen vastuun kannalta. Google Analytics ja Google Tag Manager eivät ole ainoita työkaluja, jotka seuraavat verkkosivuston käyttäjiä. Kaikki Googlen työkalut Google Mapsista ja hostatuista Google Fonts -kirjasinlajeista YouTube-upotuksiin on suunniteltu niin, että ne keräävät mahdollisimman paljon tietoa käyttäjistäsi. Samaa tekevät Metan, LinkedInin ja muiden mainosfirmojen seurantatyökalut.
Nyt kyseessä olevassa tapauksessa Yliopiston Apteekki jopa myönsi, että se oli esimerkiksi aktivoinut Metan seurantapikselin epähuomiossa lääketietoja sisältäville sivuille, minkä jälkeen se oli ollut päällä jopa kahden vuoden ajan kenenkään huomaamatta. Tuollainen virhe tuskin täyttää vaaditun huolellisuuden tason.
- Onko analytiikka välttämätöntä juuri tässä laajuudessa, vai voidaanko seuranta rajoittaa koskemaan jotakin pienempää osa-aluetta? Yliopiston Apteekin virheenä oli, että Google Analytics pääsi käsiksi myös käyttäjän selailemiin lääketietoihin, vaikka sitä ei pidetty tarpeellisena. Jokaisen yrityksen kannattaa miettiä, onko analytiikkafirmoilla pääsy tietoihin, jotka ovat tarpeettomia esimerkiksi kävijäseurannan kannalta. Koska Google, Meta ja muut lähtökohtaisesti keräävät kaiken tiedon, mihin ne vain saavat pääsyn, on olemassa selkeä riski siitä, että kyseisille yhtiöille valuu suuret määrät tarpeetonta tietoa.
- Jos analytiikka on välttämätöntä, onko Google Analytics paras vaihtoehto? Yliopiston Apteekki oli laiminlyönyt arvioida, olisiko se voinut toteuttaa kävijäanalytiikan jollakin muulla tavalla, joka olisi antanut yritykselle vallan päättää siitä, mihin tarkoituksiin käyttäjien henkilötietoja käytetään. Googlen ja Metan tapauksessa tuollaista mahdollisuutta ei ole lainkaan. Sen sijaan vaihtoehdot kuten avoimen lähdekoodin Matomo Analytics, jota myös julkishallinnon ja korkean luottamuksen toimijat suosivat, antaa yrityksellesi yksinomaisen hallinnan tietoihin, eikä tietoja käytetä muihin tarkoituksiin. Vaihtoehtoisesti verkkosivuanalytiikka voidaan toteuttaa sisäisesti, tai käyttäjien tiedot voidaan anonymisoida ennen kuin ne välitetään ulkopuolisille tahoille (nämä vaihtoehdot vaativat kuitenkin melko paljon laajempaa teknistä osaamista).
Huomaathan, että Google Analytics 4 ei ole mainospuheista huolimatta kovin paljon aikaisempaa tietosuojaystävällisempi vaihtoehto. Google Analyticsin keräämä tieto ei ole myöskään tosiasiassa anonymisoitua, vaikka näetkin siitä vain aggregoidun koosteen. Yksityiskohtaiset henkilötiedot ovat edelleen Googlen käytössä koko laajuudessaan.
- Jos käytämme ulkopuolisten yritysten tarjoamia analytiikkatyökaluja, olemmeko huolehtineet tietosuojalainsäädännön vaatimuksista? Laki velvoittaa olemaan kaiken aikaa selvillä siitä, mitä tietoja yrityksesi luovuttaa ulkopuolisille tahoille, ja huolehtimaan tietojen turvallisuudesta. Luovutukset, joiden seurauksena vastaanottavat tahot käyttävät tietoja omiin tarkoituksiinsa (kuten profilointiin ja digitaalisten sormenjälkien rakentamiseen), eivät ole yhteensopivia yrityksesi tavanomaisen toiminnan kanssa, vaan ne on perusteltava erikseen lain vaatimusten mukaisesti. Tuollaiset luovutukset edellyttävät yleensä myös käyttäjän vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä suostumusta. Riittävät kuvaukset näistä seikoista on annettava sivustosi käyttäjille esimerkiksi tietosuojaselosteessa.
- Jos käyttämämme analytiikkatyökalun kautta siirtyy käyttäjien tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle, olemmeko huolehtineet siirtojen turvallisuudesta? Google Analytics, Meta, HubSpot ja useimmat muut amerikkalaiset tai monikansalliset seurantateknologioita tarjoavat firmat pitävät servereitään EU/ETAn ulkopuolella. Tällöin tietoja siirtyy noihin ns. kolmansiin maihin. Siirrot ovat sallittuja vain, jos siitä on kerrottu läpinäkyvästi käyttäjille ja lain vaatimista suojaustoimenpitenpiteistä on huolehdittu. Lukuisissa viranomaistapauksissa kautta Euroopan tämäntyyppiset siirrot on todettu lähtökohtaisesti lainvastaisiksi, ja niistä on määrätty merkittäviä tietosuojasakkoja.
Oma kokemukseni on, että erityisesti pk-yrityksillä on usein suuria hankaluuksia tunnistaa erilaisten verkkosivuanalytiikkapalveluiden ja muiden työkalujen synnyttämiä riskejä ja velvollisuuksia.
Samoja virheitä tapahtuu myös isompien firmojen ja jopa viranomaisten keskuudessa. Asia vaatiikin yleensä ajantasaista tietoa lain vaatimuksista ja harjaantunutta silmää siitä, millä tavoin tietoa nykypäivänä kerätään verkkosivustoilla.
Tämän vuoksi on hyvä varmistaa verkkosivustosi eri toimintojen lainmukaisuus niin, että se arvioidaan sekä juridisesta että teknisestä näkökulmasta. Olemme mielellämme apunanne tehtävässä. Tarjoamme niin kevyitä kuin laaja-alaisiakin tietosuojapalveluita, joissa autamme sinua huolehtimaan lainmukaisista velvoitteistasi.
Varaa aika maksuttomalle keskustelulle, niin käydään yhdessä läpi yrityksesi tietosuojalainsäädännön mukaiset kehityskohteet.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.