Kirjastojen aineistohakutietoja voinut päätyä Googlelle – apulaistietosuojavaltuutettu antoi huomautuksen
Apulaistietosuojavaltuutettu on antanut Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä.
Pääkaupunkiseudun Helmet-kirjastojen verkkosivuilla tehdyistä hakutoiminnoista on valtuutetun mukaan voinut välittyä tietoja yhdysvaltalaisyritys Googlelle ilman riittäviä suojatoimia.
Myös muita tietoja kirjastojen verkkosivuilla vierailleista käyttäjistä on voinut päätyä Googlen haltuun, valtuutetun tiedotteessa kerrotaan.
Valtuutetun mukaan kirjastojen verkkosivujen rekisteröidyille käyttäjille ei ole myöskään kerrottu asianmukaisesti, että heidän henkilötietojaan voi siirtyä Yhdysvaltoihin.
Helmet.fi-verkkosivustolla on valtuutetun mukaan ollut käytössä Googlen tarjoamia palveluita, kuten analytiikkatyökalu Google Analytics, jotka keräävät tietoja verkkosivujen käyttäjistä.
Apulaistietosuojavaltuutettu kertoo määränneensä Helmet-kirjastot hävittämään verkkosivujen seurantateknologioiden avulla kerätyt henkilötiedot niiltä käyttäjiltä, joiden tietoja on säilytetty tai hyödynnetty lainvastaisesti.
Valtuutettu myös määräsi kirjastoja kertomaan käyttäjille henkilötietojen käsittelystä lain edellyttämällä tavalla.
Valtuutetun mukaan kirjastot ovat ilmoittaneet ryhtyneensä viipymättä toimenpiteisiin seurantateknologioiden poistamiseksi Helmet.fi-sivustolta.
Apulaistietosuojavaltuutettu viittaa päätöksessään vuonna 2020 annettuun EU-tuomioistuimen ratkaisuun.
Ratkaisun mukaan rekisterinpitäjän on keskeytettävä henkilötietojen siirrot kolmanteen maahan, jos se ei voi toteuttaa riittäviä suojatoimenpiteitä, jotta henkilötietojen suoja voidaan varmistaa.
Valtuutetun mukaan viranomaisten olisi syytä harkita tarkkaan, millaista seurantateknologiaa niiden sivustoilla on tarpeen käyttää. Lisäksi valtuutettu kehottaa harkitsemaan, voitaisiinko viranomaisen verkkopalvelua tarjota ainoastaan välttämättömiä evästeitä käyttäen.
Apulaistietosuojavaltuutettu korostaa, että viranomaisten verkkopalveluita olisi voitava käyttää ilman, että tietoja sivustoilla vierailusta päätyy esimerkiksi kaupalliseen käyttöön.