Biträdande dataombudsmannen gav en anmärkning om att uppgifterna om materialsökningar på bibliotek förmedlades till det amerikanska företaget Google
Biträdande dataombudsmannen har gett en anmärkning till Helsingfors, Esbo, Vanda och Grankulla stad om behandling av personuppgifter i strid med dataskyddslagstiftningen. Webbplatsen av huvudstadsregionens Helmet-bibliotek har använt uppföljningsteknologier genom vilka uppgifter om böcker och annat material som användare har sökt har kunnat förmedlas till utomstående. Personuppgifter har också överförts till USA i strid med lagen.
Huvudstadsregionens biblioteks webbplats Helmet.fi har använt kakor och andra uppföljningsteknologier som har gjort att uppgifter om personer som besökt webbplatsen och de alster som hen har sökt har kunnat hamna hos det amerikanska företaget Google. Helmet-bibliotekens webbplats Helmet.fi har använt till exempel analysverktyget Google Analytics och tjänsten Google Tag Manager.
På sommaren 2020 konstaterade EU-domstolen i sitt så kallade Schrems II-avgörande (C-311/18) att Privacy Shield-arrangemanget mellan EU och USA var ogiltigt eftersom en adekvat nivå av dataskydd inte hade säkerställts för dataöverföringar mellan EU och USA. Enligt avgörandet ska den registeransvariga avbryta överföringar av personuppgifter till tredje land om tillräckliga kompletterande skyddsåtgärder inte kan genomföras för att säkerställa skydd för personuppgifterna.
Personuppgifter som samlats in på webbplatsen Helmet.fi har överförts till USA utan tillräckliga kompletterande skyddsåtgärder. De registrerade har inte heller informerats adekvat om överföringen av personuppgifter. Helmet-biblioteken har angett att de utan dröjsmål har vidtagit åtgärder för att ta bort uppföljningsteknologierna från webbplatsen Helmet.fi.
Biträdande dataombudsmannen beordrade Helmet-biblioteken att förstöra personuppgifter som samlats in med webbplatsens uppföljningsteknologier för de registrerade vars personuppgifter förvarats eller använts i strid med lagen efter det att uppgifterna samlats in. Dessutom beordrade biträdande dataombudsmannen Helmet-biblioteken att informera de registrerade om behandlingen av personuppgifter på det sätt som förutsätts av dataskyddslagstiftningen.
Biträdande dataombudsmannen vill påminna om att myndigheterna ska överväga noga hurdan uppföljningsteknologi som är nödvändig på myndigheternas webbplatser och huruvida myndighetens webbtjänst kunde erbjudas utan andra kakor än kakor som är nödvändiga för webbplatsens funktion. Biträdande dataombudsmannen betonar att myndigheternas webbtjänster bör i regel kunna användas utan att uppgifter om besök på webbplatsen hamnar till exempel i kommersiellt bruk.
Biträdande dataombudsmannen vill uppmärksamma att webbplatser som tillhandahålls av myndigheter används också av till exempel äldre personer och barn som inte alltid har tillräckliga digifärdigheter eller dataskyddskunskap för att ta reda på vad behandlingen av personuppgifter som sker genom uppföljningsteknologier handlar om och hurdant bruk uppgifterna kan hamna i.
Biträdande dataombudsmannens beslut i Finlex (på finska)
Mer information:
Biträdande dataombudsmannen Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787