Google Analytics,
analytiikka ja evästeet -
tietosuojanäkökulma
7.4.2022
Harto Pönkä
Innowise

Yhdellä sivulla voi olla lukuisia http-pyyntöjä eri datankerääjille
Esimerkki: Suomiurheilu.com-sivuston request map –kuva, 7.4.2022, tämä kaikki ladataan ennen suostumuksen antoa evästeille.
2

Evästeitä
3
Kuvitteellinen esimerkki

Kolmannen osapuolen evästeet: esimerkkinä Google Analytics
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen evästeet
Kuva: Harto Pönkä, 7.4.2022
4
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle ladataan
Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>

YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä
▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja
markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta
▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com
5
<iframe width="560" height="315"
src="https://www.youtube.com/embed/fZ4KR7OHXF0"
title="YouTube video player" frameborder="0"
allow="accelerometer; autoplay; clipboard-write;
encrypted-media; gyroscope; picture-in-picture"
allowfullscreen></iframe>
<iframe width="560" height="315" src="
https://www.youtube-nocookie.com/embed/
fZ4KR7OHXF0" title="YouTube video player"
frameborder="0" allow="accelerometer; autoplay;
clipboard-write; encrypted-media; gyroscope;
picture-in-picture" allowfullscreen></iframe>

Pitääkö Google Analytics –kävijäseurannalle pyytää suostumus?
Lähteet: Google Analyticsin käyttöehdot, https://marketingplatform.google.com/about/analytics/terms/fi/, Google analyticsin ohjeet, https://support.google.com/analytics/answer/6004245?hl=fi, Miten Google
käyttää dataa: https://policies.google.com/technologies/partner-sites, Lisätietoa: https://www.cpomagazine.com/data-privacy/the-case-against-google-analytics-for-organizations-collecting-personal-data/
6
▪ Google Analyticsin dataa (eväste, IP, selaintiedot)
käytetään mm. mainosten kohdentamiseen.
▪ Käyttöehdot edellyttävät kertomaan seurannasta.
▪ Ehdot vaativat suostumuksen pyytämistä
evästeille, ”kun laki edellyttää”.
▪ Google on Google Analyticsin datan käsittelijä.
Tämä on otettava huomioon tietosuojaselosteessa.
▪ Googlen datansiirroista on tehty useita valituksia.

Traficom uusi ohjeistus: kysy suostumus ei-välttämättömille evästeille
7
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita
▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun
tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”
▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet
▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa
▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet
▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot)
▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus
▪ Analytiikkaan liittyvät evästeet
▪ Chat-palvelujen evästeet
▪ Sosiaalisen median alustoihin liittyvät evästeet
▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin

Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi
8
▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia
▪ 1. taso: evästebanneri/-ilmoitus
▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms.
▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä:
▪ Rekisterinpitäjä
▪ Henkilötietojen käsittelytarkoitukset
▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä
▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot
▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi
Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf

Evästeistä kerrottavat tiedot
9
Lähde: Traficom, 2021, Evästeet, https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet
▪ Kerro kaikkien evästeiden käytöstä: välttämättömistä ja ei-välttämättömistä
▪ Evästeet ovat pieniä laitteelle tallennettavia tekstitiedostoja…
▪ Kerro suostumuksen yhteydessä ei-välttämättömistä:
▪ Evästeiden ja muiden tekniikoiden käytöstä selkeästi
▪ Evästeiden ja muiden tekniikoiden käyttötarkoitus ja voimassaoloaika
▪ Millä kolmansilla osapuolilla on oikeus käsitellä evästetietoja
▪ Mikään laki tai asetus ei vaadi monimutkaisia evästevalintoja

Palvelun käytön jatkaminen ei ole suostumusta osoittava teko
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: OPH, https://www.oph.fi/fi/tietosuoja (15.11.2021)
10

Evästebanneri ei saa estää sivuston käyttöä
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
11

Selvät kyllä- ja ei-vaihtoehdot
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021)
12

VR, https://www.vr.fi/ (15.11.2021)
13
EI NÄIN:

Innowise CMS:n suostumusten hallinta
Lisätietoa: https://www.innowise.fi/fi/innowise-cms-26-muutoslista/
14
2. Suostumus tallentuu
sivuston tietokantaan
(sisältö, IP-osoite, aika)
3. Suostumus tallentuu
selaimen evästeeseen
(eväste-ID)
Peru suostumus
Vierailija voi halutessaan
perua suostumuksen,
jolloin se poistetaan
tietokannasta ja evästeestä
4. Ladataan kolmansien
osapuolten seuranta-
skriptit ja evästeet
Ylläpitäjä voi
katsoa saadut
suostumukset
iw_consent
Tarvittaessa
sähköposti-ilmoitus
ylläpitäjälle
Sivuston vierailijat
1. Ilmoitus evästeistä näytetään, jos:
- siihen ei ole vielä saatu vastausta
- sen sisältö on muuttunut
- vierailija avaa sen itse uudestaan

Ranskan valvontaviranomaisen päätös Google Analyticsistä 10.2.2022
15
▪ Euroopan tietosuojaviranomaisten päätöksen mukaan
Google Analytics -palvelun käyttö rikkoo GDPR:ää.
▪ Googlen suojatoimet henkilötietojen siirroille Google
Analyticsin kautta eivät ole riittäviä, eivätkä estä
Yhdysvaltojen tiedustelupalvelun pääsyä tietoihin.
▪ Google Analyticsin käyttö aiheuttaa tämän vuoksi riskin
verkkosivuston käyttäjille, joiden tietoja kerätään ja
siirretään Yhdysvaltoihin.
▪ Ranskan valvontaviranomainen (CNIL) on määrännyt
ranskalaisen verkkosivuston saattamaan henkilötietojen
käsittelynsä tietosuoja-asetuksen mukaiseksi ja
tarvittaessa lopettamaan Google Analyticsin käytön.
▪ Taustalla on EU-tuomioistuimen heinäkuussa 2020
antama Schrems II-päätös, jossa se katsoi, että
siirrettävillä henkilötiedoilla on riski päätyä
Yhdysvaltojen tiedustelupalvelun käsiin, ellei
tiedonsiirtoja suojata asianmukaisesti.
Lähde: TSV, 11.2.2022, https://tietosuoja.fi/-/euroopan-tietosuojaviranomaiset-ovat-todenneet-google-analyticsin-kayton-verkkosivuilla-tietosuojalainsaadannon-vastaiseksi
Kuva: Jack-in-the-box.jpg, Wikimedia Commons, public domain, https://commons.wikimedia.org/wiki/File:Jack-in-the-box.jpg

“
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
16
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys

Korjaako Googlen suostumustila (consent mode) Analyticsin GDPR-yhteensopivuuden?
17
▪ Suostumustila vaikuttaa vain
siihen, mihin Googlen tuotteisiin
dataa kerätään. Joka tapauksessa
data menee Googlelle.
▪ Jos suostumustila otetaan
käyttöön, se tekee evästeiden
suostumuksesta
monimutkaisemman lisäämällä
evästeasetukset.
▪ Harva kävijä todellisuudessa on
kiinnostunut säätämään
evästeasetuksia erikseen
kävijäseurannalle, konversioille ja
muulle markkinointiprofiloinnille.
→ Ei todellista hyötyä tietosuojaan
Kuvakaappaus: Google Analytics Ohjeet, 7.4.2022, https://support.google.com/analytics/answer/9976101?hl=fi

Älä yritä saada suostumusta ns. pimeillä
suunnittelumalleilla (dark patterns)
Kuvakaappaus: Yle Areena, https://areena.yle.fi/tv (15.11.2021)
Lähde: EDPB Guidelines 3/2022, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en
18
1. Ylikuormittaminen = käyttäjät kohtaavat
ison määrän pyyntöjä, tietoja,
vaihtoehtoja tai mahdollisuuksia.
2. Ohittaminen = käyttäjät eivät ajattele
kaikkia tai osaa tietosuojanäkökohdista.
3. Sekoittaminen = vedotaan käyttäjän
tunteisiin tai harhautetaan visuaalisesti.
4. Estäminen = käyttäjien tiedonsaantia tai
tietojen hallintaa estetään tekemällä
toiminnoista vaikeita.
5. Oikullinen = käyttöliittymän rakenne on
epäjohdonmukainen ja epäselvä, minkä
vuoksi käyttäjän on vaikea navigoida ja
ymmärtää toimintojen tarkoituksia.
6. Pimeyteen jättäminen = käyttöliittymä
on suunniteltu piilottamaan tiedot tai
jättämään käyttäjät epävarmoiksi.

Vaihtoehtoja Google Analyticsille
GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google
Analyticsille, jotka eivät käytä seurantatietoja muihin tarkoituksiin.
▪ Matomo Analytics, https://matomo.org/
▪ Open Web Analytics, http://www.openwebanalytics.com/
▪ GoAccess, https://goaccess.io/
▪ Countly, https://count.ly/
▪ Fathom Analytics, https://usefathom.com/
Lisätietoa esim. https://beta.hooshmand.net/privacy-focused-alternative-to-google-analytics/
19

Jos kuitenkin käytät Google Analyticsiä…
1. Pyydä evästeiden suostumus kaikin puolin
läpinäkyvästi ja suositusten mukaan.
2. Pyydä evästeiden suostumuksen yhteydessä myös
suostumus tietojen siirrolle EU:sta Yhdysvaltoihin.
3. Muista, että rekisterinpitäjä eli sivuston ylläpitäjä on
henkilötietojen käsittelyn sopimuksen mukaan
vastuussa, vaikka virhe olisi Googlen toiminnassa.
20

21
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!