Askem
Sanasto

GDPR-yhteensopiva analytiikka

GDPR-yhteensopiva analytiikka tarkoittaa verkkoanalytiikkaa, joka täyttää tietosuoja-asetuksen vaatimukset kävijädatan keräämisessä ja käsittelyssä.

Viimeksi päivitetty: 2026-03-20

Mitä GDPR-yhteensopiva analytiikka tarkoittaa?

GDPR-yhteensopiva analytiikka tarkoittaa verkkosivuston kävijädatan keräämistä ja käsittelyä EU:n yleisen tietosuoja-asetuksen (asetus 2016/679) mukaisesti. Se koskee kaikkia organisaatioita, jotka seuraavat Euroopan talousalueella sijaitsevia kävijöitä, riippumatta siitä, missä organisaatio itse sijaitsee.[1]

Vaatimustenmukaisuus edellyttää laillista perustetta henkilötietojen käsittelylle, kävijöiden oikeuksien kunnioittamista ja asianmukaisia teknisiä suojatoimia.

Mitkä GDPR:n säännöt koskevat analytiikkaa?

Käsittelyn oikeusperuste (artikla 6). Jokainen henkilötietojen käyttö tarvitsee laillisen perusteen. Analytiikassa kaksi vaihtoehtoa nousee esiin useimmin:

  • Suostumus — Kävijä suostuu aktiivisesti ennen seurannan alkamista. Tämä vaaditaan, kun analytiikkatyökalut asettavat evästeitä tai käsittelevät henkilötietoja. Suostumuksen pitää olla vapaaehtoisesti annettu, yksilöity ja helppo peruuttaa.
  • Oikeutettu etu — Organisaatio vetoaa liiketoimintatarpeeseen, joka ei ohita kävijöiden oikeuksia. Valvontaviranomaiset ovat suhtautuneet tähän perusteeseen skeptisesti, kun kyse on kolmannen osapuolen analytiikkatyökaluista kuten Google Analyticsista.[2]

Tietojen minimointi (artikla 5). Kerää vain se, mitä tarvitset. Jos tiimisi tarvitsee vain sivunäkymien kokonaismääriä, täysien IP-osoitteiden, selaimen sormenjälkien ja pysyvien tunnisteiden kerääminen rikkoo tätä sääntöä.

Käyttötarkoitussidonnaisuus (artikla 5). Liikenteen mittaamiseen kerättyä dataa ei saa käyttää mainoskohdentamiseen ilman erillistä suostumusta.

Kansainväliset siirrot (V luku). ETA-alueen ulkopuolelle lähetettävä henkilötieto tarvitsee asianmukaiset suojatoimet. Itävallan, Ranskan, Italian ja Tanskan tietosuojaviranomaiset totesivat vuosina 2022–2023, että Google Analyticsin vakioasetukset rikkoivat GDPR:ää siirtämällä henkilötietoja Yhdysvaltoihin.[3]

Miltä vaatimustenmukaisuus näyttää käytännössä?

Organisaatiot, jotka hoitavat analytiikan hyvin, käyttävät yleensä yhtä tai useampaa näistä lähestymistavoista:

Evästesuostumuksen hallinta. Asianmukainen suostumusalusta pyytää luvan ennen analytiikkaskriptien ajamista. Ei esirastettuja ruutuja. Ei pimeitä kuvioita, jotka piilottavat "hylkää"-vaihtoehdon.

IP-anonymisointi. Analytiikkatyökalut lyhentävät IP-osoitteet ennen tallennusta. Tämä estää datan yhdistämisen tiettyihin henkilöihin.

Tietosuojalähtöiset työkalut. Evästeettömät analytiikka-alustat, jotka eivät koskaan käsittele henkilötietoja, ohittavat suostumusvaatimuksen kokonaan. Tämä on suosittu lähestymistapa viranomaisilla ja terveydenhuolto-organisaatioilla.

EU-pohjainen datankäsittely. Toimittajien valinta, jotka pitävät datan EU:n sisällä, välttää rajat ylittävät siirto-ongelmat kokonaan.

Tietojenkäsittelysopimukset. Jokainen henkilötietoja puolestasi käsittelevä toimittaja tarvitsee allekirjoitetun DPA:n, kuten artikla 28 edellyttää.

Mitä yleisiä virheitä vaatimustenmukaisuudessa tehdään?

Monet organisaatiot tekevät perusvirheitä. Varo näitä:

  • Analytiikkaskriptien lataaminen ennen suostumuksen saamista.
  • "Hyväksy"-painikkeen tekeminen helpoksi ja "Hylkää kaikki" -painikkeen piilottaminen.
  • GA4:n olettaminen vaatimustenmukaiseksi ilman lisäasetuksia.
  • Analytiikkatoimittajien unohtaminen tietosuojaselosteesta.
  • Kävijöiden pyyntöjen laiminlyönti heidän analytiikkadatansa poistamiseksi.

Suurilla organisaatioilla, joilla on monimutkaisia sivustoja, nämä virheet moninkertaistuvat. Pankkisivustolla, jolla on 20 aliverkkotunnusta, suostumushallinta voi toimia oikein 18:ssa mutta olla rikki kahdessa. Säännölliset sisältöauditoinnit löytävät nämä puutteet.

Kuka vastaa vaatimustenmukaisuudesta?

GDPR-vaatimustenmukaisuus ei ole vain lakitiimin ongelma.

Lakitiimit määrittelevät oikeusperusteen, arvioivat toimittajasopimukset ja hallitsevat sääntelyn riskiä.

IT-tiimit toteuttavat suostumusalustat, määrittävät analytiikkatyökalut, varmistavat datavirrat ja huolehtivat, ettei henkilötietoja vuoda kolmansille osapuolille.

Sisältö- ja markkinointitiimien täytyy ymmärtää, mitä he voivat ja eivät voi mitata. Heidän pitää tietää, että suostumuksen hylkäykset vähentävät saatavilla olevaa dataa, ja suunnitella raportointi sen mukaisesti.

Kun kaikki kolme ryhmää koordinoivat, vaatimustenmukaisuudesta tulee osa työnkulkua — ei viime hetken paniikkia ennen auditointia.

Miten Askem auttaa?

Yksinkertaisin polku GDPR-yhteensopivaan analytiikkaan on valita alusta, joka ei kerää henkilötietoja lainkaan. Askem ei käytä evästeitä, ei tallenna IP-osoitteita eikä vaadi evästebanneria. EU:ssa tapahtuva datankäsittely poistaa rajat ylittävät siirto-ongelmat, jotka ovat tehneet Google Analyticsin vakioasetuksista oikeudellisesti ongelmallisia useissa EU-maissa. Pankki-, terveydenhuolto- ja julkishallinnon organisaatioille tämä lähestymistapa poistaa kokonaisen tietosuojariskien kategorian ja pitää sivunäkymä- ja istunnon kesto -datan saatavilla.

Lähteet

  1. European Parliament — Regulation (EU) 2016/679 (GDPR): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  2. European Data Protection Board — Guidelines 05/2020 on consent: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
  3. NOYB — Overview of Google Analytics decisions: https://noyb.eu/en/update-one-year-google-analytics-decisions

Liittyvät käsitteet

Evästeetön analytiikkaSivunäkymätIstunnon kesto

Tilaa ilmainen saavutettavuusraportti

Syötä verkkotunnuksesi ja sähköpostisi. Lähetämme raportin 24 tunnin kuluessa.