Photo: Kuvio
Apulaistietosuojavaltuutettu on antanut Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Pääkaupunkiseudun Helmet-kirjastojen verkkosivustolla on ollut käytössä seurantateknologioita, joiden kautta tietoja esimerkiksi käyttäjän hakemista kirjoista ja muusta aineistosta on voinut välittyä sivullisille. Henkilötietoja on myös siirretty lainvastaisesti Yhdysvaltoihin.
Pääkaupunkiseudun kirjastojen Helmet.fi-sivustolla on käytetty evästeitä ja muita seurantateknologioita siten, että tietoja esimerkiksi verkkosivustolla vierailijasta ja hänen hakemistaan teoksista on voinut päätyä yhdysvaltalaisyritys Googlelle. Helmet-kirjastot ovat käyttäneet Helmet.fi-verkkosivustolla esimerkiksi Google Analytics -analytiikkatyökalua ja Google Tag Manager -palvelua.
Kesällä 2020 EU-tuomioistuin totesi niin sanotussa Schrems II -ratkaisussaan (C-311/18) EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn pätemättömäksi, koska tiedonsiirroissa EU:n ja Yhdysvaltojen välillä ei ollut turvattu riittävää tietosuojan tasoa. Ratkaisun mukaan rekisterinpitäjän on keskeytettävä henkilötietojen siirrot kolmanteen maahan, jos se ei voi toteuttaa riittäviä täydentäviä suojatoimenpiteitä henkilötietojen suojan varmistamiseksi.
Helmet.fi-verkkosivustolla kerättyjä henkilötietoja on siirretty Yhdysvaltoihin ilman riittäviä täydentäviä suojatoimia. Rekisteröityjä ei myöskään informoitu asianmukaisesti henkilötietojen siirroista. Helmet-kirjastot ovat ilmoittaneet ryhtyneensä viipymättä toimenpiteisiin seurantateknologioiden poistamiseksi Helmet.fi-verkkosivustolta.
Apulaistietosuojavaltuutettu määräsi Helmet-kirjastot hävittämään verkkosivujen seurantateknologioiden kautta keräämät henkilötiedot niiden rekisteröityjen osalta, joiden henkilötietoja on niiden keräämisen jälkeen säilytetty tai hyödynnetty lainvastaisesti. Lisäksi apulaistietosuojavaltuutettu määräsi Helmet-kirjastot informoimaan henkilötietojen käsittelystä tietosuojalainsäädännön edellyttämällä tavalla.
Apulaistietosuojavaltuutettu muistuttaa, että viranomaisten on harkittava tarkkaan, millaista seurantateknologiaa niiden verkkosivustoilla on tarpeellista olla, ja voitaisiinko viranomaisen verkkopalvelua mahdollisesti tarjota ilman muita kuin sivuston toiminnan kannalta välttämättömiä evästeitä. Apulaistietosuojavaltuutettu korostaa, että viranomaisen verkkopalveluita olisi lähtökohtaisesti voitava käyttää ilman, että tietoja verkkosivuvierailusta päätyy esimerkiksi kaupalliseen käyttöön.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että viranomaisten tarjoamia sivustoja käyttävät myös esimerkiksi iäkkäät henkilöt ja lapset, joilla ei välttämättä ole riittäviä digitaitoja ja tietosuojaosaamista selvittää, mistä seurantateknologioiden kautta tapahtuvassa henkilötietojen käsittelyssä on kyse, ja millaiseen käyttöön tiedot saattavat päätyä.