Taas uusi tietosuojahuomautus – Googlen palvelut myrskyssä
Kulunut viikko on ollut tietosuojauutisten osalta vuoden kiireisimpiä. Ilmatieteen laitos sai huomautuksen tietojen siirrosta Googlelle, minkä lisäksi Facebookin emoyhtiö Meta sai jättimäiset 1,2 miljardin sakot samasta pohjasyystä, eli tietojen siirtämisestä Yhdysvaltoihin.
Ilmatieteen laitoksen saama huomautus koskee Google Analytics – ja ReCaptcha-palveluiden käyttämistä, jolloin henkilötietoja on päätynyt Googlelle ja sitä kautta Yhdysvaltoihin viranomaisten saataville. Nuhteita tuli myös vaikutuksenarvioinnin puuttumisesta. Päätös on samansuuntainen kuin viimeaikaiset muut päätökset, mutta ottaa selvästi jyrkemmän kielteisen kannan Googlen palveluiden käyttöön Suomessa.
Privacy Shieldin puute edelleen haasteena
Google-analytiikan osalta päätös on jatkumoa kansainvälisille ja suomalaisille päätöksille. Yhdysvaltalaisyrityksenä Google on velvoitettu pyydettäessä luovuttamaan tietoja Yhdysvaltojen tiedusteluviranomaisille. Analytiikassa kerättävä tieto on tulkittu henkilötiedoksi, jolla voidaan yksilöidä käyttäjä, jolloin sen siirtäminen EU-alueen ulkopuolelle on kiellettyä. On kuitenkin muistettava, ettei analytiikka kerää ns. ”sensitiivisiä” henkilötietoja kuten nimeä tai henkilötunnusta.
Ongelmana on edelleen Privacy Shield -järjestelyn puute. Lisää taustatietoa esimerkiksi tässä blogikirjoituksessamme. Privacy Shield on lupaavien aikojen jälkeen ollut kriittisessä kommentoinnissa Euroopan parlamentin todetessa siinä haasteita. Toisaalta Helsingin Sanomat tulkitsi, että asia olisi jo käytännössä ratkaisu. Joka tapauksessa uskomme Privacy Shieldin liikahtavan johonkin suuntaan vielä tänä vuonna – niin suuria ongelmia sen puuttuminen tällä hetkellä aiheuttaa.
On hyvä huomata, että edellisessä Helmetin tapauksessa analytiikkatyökalu toimi virheellisesti ennen käyttäjän evästehyväksyntää. Ilmatieteen laitoksella vastaavaa virhettä ei ollut. Huomautus ei siis tullut virheellisesti käytetystä analytiikkatyökalusta, vaan analytiikkatyökalun käytöstä itsessään. Päätös antaa suuntaa siitä, että Suomessakin viranomaisten linja Google Analyticsin käytöstä on tiukentunut.
Tietosuoja ja tietoturva: Lue lisää
Analytiikan lisäksi nuhteita myös suositun ReCaptchan käytöstä
Captcha eli ”Completely Automated Public Turing test to tell Computers and Humans Apart” on se kaikille tuttu ”oletko robotti” -kysely, johon on helppoa törmätä esimerkiksi verkkosivujen lomakkeiden yhteydessä. Tarkoituksena on erottaa botit oikeista käyttäjistä ja estää esimerkiksi roskapostin lähettäminen sivuston lomakkeilla.
Yleisin Captcha-palvelu on Googlen ReCaptcha, joka on ilmainen käyttää. Google hyödyntää käyttäjien vastauksia kuvatunnistustehtäviin tekoälyn opettamisessa, mutta lisäksi Captcha seuraa ja raportoi käyttäjien tietoja Googlelle hieman vastaavasti kuin Google analytiikka. Tietoja käytetään käyttäjän erottamiseen roboteista, jottei kysely ilmesty joka kerta.
Ilmatieteen laitoksen huomautuksessa ReCaptchan keräämä analytiikka rinnastettiin perustellusti Google analytiikan käyttämiseen. Ongelma ei siis ollut itsessään Captcha, vaan Google sen palvelutarjoajana ja tietojen kerääjänä.
Olemme viimevuosina suositelleet hCaptcha-työkalua joka on vastaava ilmainen työkalu, mutta ei seuraa käyttäjää vastaavasti kuin Googlen ReCaptcha. ReCaptchan korvaaminen hCaptchalla tai vastaavalla palvelulla on varmasti hyvä ottaa johonkin väliin kehityslistalle, mikäli Googlen palvelu vielä on käytössä.
Kritiikki vaikutuksenarvioinnin puutteesta yllätti
Päivitys 1.6.2023: Apulaistietosuojavaltuutettu teki oikaisun omaan päätökseensä ja poisti maininnan vaikutustenarvioinnin puutteesta. Päivitetty tulkinta on, ettei vaikutustenarviointia ole tarpeen tehdä. Lisää tietosuoja.fi-sivuston tiedotteessa
Apulaistietosuojavaltuutetun päätöksessä huomiota herättävin kohta on maininta vaikutustenarvioinnin puutteesta raskauttavana tekijänä. Vaikutustenarvioinnissa on tarkoituksena reflektoida henkilötietojen käsittelyn tarpeellisuutta ja käsittelystä aiheutuvia riskejä sekä riskienhallinnan toimenpiteitä. Tietosuojavaltuutetun toimiston mukaan ”vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille”. Tähän mennessä alan yleinen käsitys on ollut, ettei verkkoanalytiikkaan liity korkeaa riskiä oikeuksille ja vapauksille, ja on ollut tulkittavissa, etteivät Tietosuojavaltuutetun toimiston kriteerit korkean riskin tilanteille täyty normaalin verkkosivuston tapauksessa.
Uusimmassa Ilmatieteen laitoksen tapauksessa todetaan toisin: ”yhdysvaltalaisviranomaisen pääsymahdollisuus seurantateknologioiden kautta kerättyihin henkilötietoihin muodostaa korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta.” Tulkinta on mielestämme raju, sillä analytiikkaan siirtyvät henkilötiedot eivät suoraan sisällä mitään selkokielistä henkilön identifioivaa tietoa, kuten nimeä tai osoitetta.
Emme pidä realistisena, että jokainen Googlen palveluita käyttävä yritys tekisi itsenäisesti vastaavan vaikutustenarvioinnin, jota apulaistietosuojavaltuutettu Ilmatieteen laitokselta vaati. Toivommekin, että Tietosuojavaltuutetun toimisto julkaisee tarvittavista toimista vielä lisätietoa tai lisää perusteita, miksi vaikutuksenarviointi on todella tarpeen tehdä äärimmäisen yleisesti käytetyn verkkoanalytiikkatyökalun osalta
Mitä seuraavaksi?
Ilmatieteen laitos on ilmoittanut poistavansa Googlen palvelut käytöstä. Emme voi tarjota lainopillisia neuvoja tai tulkintoja, ja on vaikeaa ennustaa, miten tilanne käytännössä kehittyy. On hyvä huomata, ettei tässä tapauksessa jaettu sakkorangaistusta. Todennäköisyys sakoille huomautuksen sijaan on siis ymmärtääksemme edelleen pieni, mutta toki myös mainehaitan näkökulmat on tärkeää huomioida päätöksenteossa. Toisaalta Privacy Shield voi tuoda nopeankin helpotuksen Googlen palveluiden kanssa jatkamiseen.
Mahdollisia seuraavia askeleita Googlen palveluita käyttäville yrityksille, järjestöille ja julkisen sektorin organisaatioille ovat nähdäksemme:
- Julkisilla organisaatioilla on syytä harkita Googlen palveluista luopumista. Lopullinen päätös on syytä tehdä organisaatiossa yhdessä verkkosivustosta vastaavien henkilöiden ja juristien kanssa
- Mikäli Google Analytics on liiketoimintakriittistä, emme suosittele tekemään hätiköityjä ratkaisuja ennen Privacy Shield -asian ratkeamista. Suosittelemme kuitenkin ottamaan vaihtoehtoisen analytiikkatyökalun Google Analyticsin rinnalle, suosituksemme on Matomo
- Mikäli Google Analytics ei ole liiketoimintakriittinen, pelkkään vaihtoehtoiseen työkaluun, kuten Matomo, siirtymistä on syytä harkita. Lopullinen päätös on tässäkin tapauksessa tehtävä organisaation sisällä
Karhun blogi ja uutiskirje jatkavat tietosuojatrillerin seurantaa
Seuraamme tulevaisuudessakin innolla verkkosivujen tietosuojaa koskevia viranomaisratkaisuja ja markkinakäänteitä blogissamme. Kun tilaat Karhulla on asiaa -uutiskirjeemme alla näkyvällä lomakkeella, pysyt uusimmista tapahtumista ajan tasalla.