Oletko vieraillut pääkaupunkiseudun kirjastojen Helmet-sivustolla? Vierailustasi on todennäköisesti päätynyt tietoa yhdysvaltalaisyritys Googlelle.
Apulaistietosuojavaltuutettu on antanut Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Helmet-kirjastojen verkkosivustoilla on käytetty evästeitä ja muun muassa Google Analytics ja Google Tag -palveluita.
Apulaistietosuojavaltuutetun mukaan Helmet.fi-sivustolla kerättyjä henkilötietoja on siirretty Yhdysvaltoihin ilman riittäviä täydentäviä suojatoimia eikä vierailijoille kerrottu tästä asianmukaisesti.
Helmet-kirjastojen tiedotteen mukaan Googlelle on päätynyt vain IP-osoitteita.
Helmet-kirjastojen mukaan Google Analytics on korvattu Matomo-yrityksen palveluun syyskuussa 2022. Matomon palvelu anonymisoi IP-osoitteet ja tietoja käsitellään Helmet-kirjastojen mukaan vain Suomessa.
Apulaistietosuojavaltuutettu määräsi Helmet-kirjastot hävittämään verkkosivujen seurantateknologioiden kautta kerätyt henkilötiedot niissä tapauksissa, joissa henkilötietoja on keräämisen jälkeen säilytetty tai hyödynnetty lainvastaisesti.
Lisäksi apulaistietosuojavaltuutettu määräsi Helmet-kirjastot tiedottamaan henkilötietojen käsittelystä tietosuojalainsäädännön mukaisesti.
Apulaistietosuojavaltuutetun mukaan viranomaisten on harkittava tarkkaan, millaista seurantateknologiaa niiden verkkosivustoilla on tarpeellista olla, ja voitaisiinko verkkopalvelua tarjota ilman muita kuin sivuston toiminnan kannalta välttämättömiä evästeitä.
Apulaistietosuojavaltuutettu korostaa, että viranomaisen verkkopalveluita olisi lähtökohtaisesti voitava käyttää ilman, että tietoja verkkosivuvierailusta päätyy esimerkiksi kaupalliseen käyttöön.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että viranomaisten tarjoamia sivustoja käyttävät myös esimerkiksi iäkkäät henkilöt ja lapset, joilla ei välttämättä ole riittäviä digitaitoja ja tietosuojaosaamista selvittää, mistä seurantateknologioiden kautta tapahtuvassa henkilötietojen käsittelyssä on kyse ja millaiseen käyttöön tiedot saattavat päätyä.
Juttua muokattu 18.1.2023 kello 9.34: Lisätty Helmet-kirjastojen vastaus ja tarkennettu sitä, mitä henkilötietoja verkkovierailusta on päätynyt Googlelle.