31.1.2023

Tietosuojaviranomaiselta huomautus henkilötietojen käsittelystä Helmet-kirjastojen verkkosivustolla

Apulaistietosuojavaltuutettu antoi huomautuksen Pääkaupunkiseudun Helmet-kirjastoille (Helsingin, Espoon, Vantaan ja Kauniaisten kaupungit, ”Helmet-kirjastot”) näiden Helmet.fi -verkkosivuston henkilötietojen käsittelyn tietosuojalainsäädännön vastaisuuksista. Helmet-kirjastojen henkilötietojen käsittelyä pidettiin usealla tavalla tietosuojalainsäädännön vastaisena.

Apulaistietosuojavaltuutetun päätöksen mukaan Helmet-kirjastoilla ei ollut tietosuojalainsäädännön mukaista käsittelyperustetta seurantateknologioiden avulla kerättyjen henkilötietojen jatkokäsittelylle. Rekisterinpitäjältä (Helmet-kirjastoilta) puuttui tietosuojalainsäädännön mukainen käsittelyperuste, koska Helmet-verkkosivusto oli asettanut seurantateknologioita rekisteröidyn (verkkosivun kävijän) päätelaitteelle välittömästi verkkosivustolle saavuttaessa ilman rekisteröidyn antamaa nimenomaista, pätevää suostumusta. Arviointiin vaikutti myös se, että seurantateknologioita asetettiin rekisteröidyn päätelaitteelle ennen ns. evästebannerin esittämistä.

Päätöksen mukaan rekisteröityjen kirjastoteosten aineistohakutietoja on voinut päätyä Googlelle Helmet-kirjastojen verkkosivuston Googlen analytiikkatyökalujen käytön, analytiikkatyökaluun tehtyjen määritelmien ja rekisteröidyn verkkosivuston käyttötavan johdosta. Apulaistietosuojavaltuutettu katsoi, että rekisteröidyn henkilötietojen mahdollisuus joutua sivullisille rikkoi sisäänrakennettua ja oletusarvoista tietosuojaa.

Päätöksen mukaan Helmet-kirjastot eivät olleet informoineet rekisteröityjä tietosuojalainsäädännön mukaisella läpinäkyvällä tavalla suorittamastaan henkilötietojen käsittelystä, koska asiakasrekisterin tietosuojainformaatio ei ollut selkeästi löydettävissä Helmet-kirjastojen verkkosivustolta. Koska tietosuojaa koskeva informaatio löytyi vasta erisisältöisen linkin takaa, ei valittua esitystapaa pidetty selkeänä ja tietosuojalainsäädännön mukaisena.

Lisäksi päätöksessä todettiin, ettei rekisteröityjä oltu informoitu asianmukaisesti Helmet-kirjastojen verkkosivuston kansainvälisistä henkilötietojen siirroista ja käytetyistä siirtoperusteista. Kansainvälisistä henkilötietojen siirroista oli informoitu asiakasrekisteriselosteessa yleisluontoisesti ilman viittausta käytettyyn siirtoperusteeseen ja henkilötietojen siirtomaihin.

Myös Helmet-kirjastojen suorittama varsinainen kansainvälinen henkilötietojen siirto todettiin tietosuojalainsäädännön vastaiseksi. Rekisteröityjen henkilötietojen siirto Yhdysvaltoihin oli ollut tietosuoja-asetuksen vastaista, koska Yhdysvalloissa viranomaisilla on laaja oikeus saada pääsy Euroopan unionista Yhdysvaltoihin siirrettyihin henkilötietoihin eivätkä Helmet-kirjastot olleet varmistuneet rekisteröityjen henkilötietojen riittävästä suojasta täydentävien suojatoimenpiteiden avulla henkilötietoja siirrettäessä. Täydentävänä suojatoimena henkilötietojen kansainvälisissä siirroissa pidetään esimerkiksi henkilötietojen salausta.

Apulaistietosuojavaltuutettu kehotti päätöksessään viranomaisia harkitsemaan, onko viranomaisten ylipäänsä tarpeen käyttää muita kuin verkkosivuston käytön kannalta välttämättömiä seurantateknologioita. Viranomaisen verkkopalveluita olisi lähtökohtaisesti voitava käyttää ilman altistumista kolmansien osapuolten tiedonkeruulle.

Yhteenveto

Vaikka päätös edellyttää myös teknistä asiantuntemusta, osoittaa se kiistattomasti seurantateknologioiden ja kansainvälisten henkilötietojen siirron juridiikan selkeyden.

Viimeistään nyt verkkosivujen haltijoiden onkin syytä hankkia asianmukainen evästetyökalu ja valvoa sen toimintaa. Tarvittaessa seurantateknologioita/kolmansien osapuolten evästeitä koskeva suostumus pitää pystyä näyttämään toteen. Myös kansainvälisiin henkilötietojen siirtoihin Yhdysvaltoihin, Googlen tai muiden palveluntuottajien palveluiden kautta, on syytä kiinnittää erityistä huomiota.

Antti Saari