Helsingin, Espoon, Vantaan ja Kauniaisten kaupungit ovat saaneet huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Huomautuksen pääkaupunkiseudun kirjastoille antoi apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Henkilötietojen mahdollinen vuotaminen Yhdysvaltoihin on tapahtunut kirjastojen käyttämän Helmet.fi-sivuston kautta. Helmet.fi-sivuston käytössä on ollut seurantateknologioita, jotka keräävät tietoja verkkosivuvierailijoista sekä hänen hakemistaan teoksista. Käytössä olleet seurantateknologiat ovat olleet Google Analytics-analytiikkatyökalu ja Google Tag Manager -palvelu, joiden tietosuojapuutteista on ollut paljon puhetta. Henkilötietoja on siirretty Yhdysvaltoihin ilman riittäviä suojatoimia. Tiedonsiirroissa EU:n ja Yhdysvaltojen välillä ei ole turvattu riittävää tietosuojan tasoa, tämän totesi EU:n tuomioistuin kesällä 2020 Schrems II -ratkaisussaan. Mikäli rekisterinpitäjä ei voi toteuttaa riittäviä täydentävä suojatoimenpiteitä henkilötietojen suojan varmistamiseksi, on hänen keskeytettävä siirrot kolmanteen maahan.
Mitä kirjaston teosten haku voi henkilöstä paljastaa?
Äkkiseltään voisi ajatella, ettei kirjaston teosten haku paljasta henkilöstä mitään henkilötietoihin luokiteltavaa. Teoksiin kohdistuvat hakutiedot kuitenkin saattavat paljastaa huomattavan määrän henkilön yksityiselämästä kertovia seikkoja ja näitä tietoja voidaan käyttää esimerkiksi rekisteröityä koskevan henkilöprofiilin luomiseen. Tässä tapauksessa huolimattomuus henkilötietojen käsittelyssä on johtanut näiden tietojen välittymiseen ainakin tiettävästi Googlen käyttöön.
Helmet-kirjastot on apulaistietosuojavaltuutetun toimesta määrätty hävittämään seurantateknologioilla kerätyt rekisteröidyt henkilötiedot, joita on säilytetty tai hyödynnetty lainvastaisesti sekä informoimaan henkilötietojen käsittelystä tietosuojalainsäädännön edellyttämällä tavalla. Etenkin viranomaisen tarjoamilla sivustoille tulisi jo lähtökohtaisesti voida käyttää ilman, että tietoja verkkosivuvierailusta päätyy esim. kaupalliseen käyttöön.
Apulaistietosuojavaltuutettu huomautteleekin, että viranomaisten ja yritysten on tarkkaan harkittava millaista seurantateknologiaa heidän verkkosivustoillaan on käytössä ja punnita voisiko verkkopalveluita mahdollisesti tarjota ilman muita kuin sivuston toiminnan kannalta välttämättömiä evästeitä. Analytiikkatyökaluksi on tarjolla myös GDPR-ystävällisiä vaihtoehtoja, jotka antavat yhtä laajasti tietoa verkkosivuvierailijoista ja heidän käyttäytymisestään kuin Googlen työkalut.
Lähteet:
Tietosuojavaltuutetun toimisto
