Euroopassa on nähty viime aikoina useita päätöksiä, joiden mukaan Google Analyticsin käyttö rikkoo GDPR-tietosuoja-asetusta. Päätösten mukaan esimerkiksi IP-osoitteiden, evästeiden sekä muiden henkilökohtaisten tunnistetietojen kerääminen ja siirtäminen Yhdysvaltoihin on laitonta, koska henkilötiedot menevät Yhdysvaltoihin ja ovat paikallisen lain mukaan Yhdysvaltain viranomaisten saatavilla.
Tänä vuonna GDPR-rikkomuksista pinnalla on ollut muun muassa Itävallan tapaus, jossa maan viranomaiset linjasivat Google Analyticsia käyttävän terveysalan verkkosivuston rikkoneen GDPR-lakia.
Itävallan ratkaisun jälkeen myös Hollannin, Tanskan ja Ranskan tietosuojaviranomaiset julkistivat vastaavia päätöksiä, jotka toimivat muille eurooppalaisille yrityksille hyvinä ennakkotapauksina ja esimerkkinä tulevasta.
Puhetta on riittänyt etenkin siitä, miten GDPR muuttaa koko digimarkkinoinnin kenttää. Asiantuntijat ovat povanneet, että yhdysvaltalaiset toimijat, kuten Google ja Meta, pystyvät toimimaan jatkossakin Euroopassa, mutta mainonnan ja markkinoinnin ala kokenee kuitenkin mullistuksia viimeaikaisten Google Analytics -päätösten myötä.
Mainontateknologiayritys Adformin lakiasiainjohtaja Anders Pilgaard Andersen puhuu jopa “valtavasta haasteesta”, koska ongelma ei koske vain Google Analyticsia.
– Schrems II -GDPR-tuomio Google Analyticsia vastaan tuo valtavan haasteen yhdysvaltalaisia mainos- ja markkinointiteknologia-alustoja käyttäville yrityksille. Tilanne todennäköisesti koskee kaikkia alustoja, jotka Google Analyticsin tapaan prosessoivat Euroopan tietosuoja-asetusten piiriin kuuluvien henkilöiden evästedataa, Andersen uskoo.
– Ranskan tietosuojaviranomainen totesi “päätöksen ulottuvan muihinkin verkkosivustojen käyttämiin työkaluihin, jotka siirtävät eurooppalaisten verkkokäyttäjien tietoja Yhdysvaltoihin”. Tanskan viranomainen puolestaan totesi, että uusia tapauksia otetaan tutkintaan EU:n alueella ja että 100 tunnistettua tapausta odottaa tutkintaa, hän jatkaa.
Aiemmin EU ja USA ovat ratkaisseet ongelmakohtaa jo kumotulla Privacy Shield -sopimuksella, jolla säänneltiin mannertenvälisten henkilötietojen vaihtoa kaupallisiin tarkoituksiin.
– Vaikka kaikki osapuolet toivoisivatkin vastaavaa ratkaisua, tällä hetkellä eurooppalaisilla viranomaisilla näyttää olevan tiukempi näkemys Yhdysvaltain viranomaisten pääsystä Euroopan kansalaisten dataan. Nopeat muutokset koordinoidulta ja yhtenäiseltä vaikuttavassa eurooppalaisessa päätöksenteossa sekä Ranskan tapauksessa annettu lyhyt, vain kuukauden mittainen määräaika asetusten noudattamiseen, eivät jätä yrityksille paljoakaan aikaa toimia.
Lue myös: GDPR-kohu Googlen ympärillä muuttanee markkinointia, sanoo asiantuntija
GDPR:n ja erityisesti Max Schrems II -päätöksellä kumotun Privacy Shieldin olennaisin kysymys on ollut, ovatko normaalit sopimusehdot riittäviä siihen, että Yhdysvalloissa tietoja säilyttävien teknologia-alustojen käyttö olisi myös jatkossa mahdollista. Eurooppalaiset päätökset ovat antaneet kysymyksiin tietyn kannan, sanoo Adformin tietosuoja-asioista vastaava lakimies Elena Turtureanu.
– Itävallan sekä muiden viranomaisten tekemät päätökset antavat selkeän viestin siitä, että yhdysvaltalaisten teknologia-alustojen käytöstä on tullut yhä vaikeampaa ja potentiaalisesti jopa mahdotonta, Turtureanu sanoo.
Turtureanu uskoo, että eurooppalaisissa yrityksissä tehdään tällä hetkellä päätöksiä jatkon suhteen.
– Euroopassa toimivat yritykset, jotka keräävät tietoja asiakkaistaan, joutuvat nyt arvioimaan, onko Yhdysvalloissa sijaitsevien alustojen käytön jatkaminen kaiken riskin arvoista. Tarkkaan säädellyillä ja tarkasti vaatimuksia noudattavilla toimialoilla kuten finanssialalla, viestinnässä ja vastaavilla toimivat yritykset tekevät luultavasti parhaillaan päätöksiä siitä, miten ne toimivat jatkossa.
Koko ongelma on lähtökohtaisesti poliittinen, ja siksi nopeaa ratkaisua tuskin nähdään. Maaliskuussa EU ja Yhdysvallat pääsivät sopuun uudesta datasiirtosopimuksesta mannerten välillä, mitä voidaan pitää positiivisena kehitysaskeleena. Vielä ei voida kuitenkaan puhua juridisesti sitovasta sopimuksesta.
Helpoimpana vaihtoehtona voisi olla se, että jenkkiyhtiöt avaavat Eurooppaan omia, täysin erillisiä yrityksiä hallinnoimaan alustojaan, koska tällöin yhtiöiden ei tarvitsisi noudattaa Yhdysvaltain lakeja. Toistaiseksi yhtiöillä on Euroopassa vain tytäryhtiöitä, jotka eivät aja samaa asiaa.
– Esimerkiksi Google on siirtänyt joitain sopimuksiaan Irlantiin, ja se voi olla yksi esimerkki siitä, että he valmistelevat eurooppalaisille asiakkaille EU:ssa sijaitsevan datakeskuksen tarjoamista, sanoi Mertanen Analytics Oy:n perustaja ja toimitusjohtaja Petri Mertanen MarkkinointiUutisille helmikuussa.
Lähde: Adformin tiedote