Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat reprimander mot städerna Helsingfors, Esbo, Vanda och Grankulla för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att städerna Helsingfors, Esbo, Vanda och Grankulla (de personuppgiftsansvariga) användt Google Analytics och Google Tag Manager, med servrar i USA, som spårningsteknik i sitt onlinesystem (https://helmet.fi) för offentliga bibliotek för att övervaka besökarna och förbättra tjänsten. De personuppgiftsansvariga installerade spårningsteknik för cookies på de registrerades terminalutrustning så snart de fick tillgång till webbplatsen, även innan en cookie-banner visats för dem. Information om behandlingen av personuppgifter fanns tillgänglig på bibliotekets webbplats under länken ”Om webbplatsen”. Denna allmänna integritetsinformation informerade dock inte de registrerade om överföringar av personuppgifter till USA, utan nämnde bara att ”vissa tjänsteleverantörer finns utanför EU/EES” utan specifik information om mottagarna i tredjeländer. Information om spårningsteknik gavs också under rubriken ”Cookies”.
Mot bakgrund av EU-domstolens Schrems II-dom inledde Dataombudsmannens byrå på eget initiativ en tillsyn av de personuppgiftsansvarigas överföringar av uppgifter till tredjeländer. Dataombudsmannens byrå tog ställning till fyra huvudfrågor: rättslig grund för behandling av personuppgifter som samlas in med hjälp av spårningsteknik, information till de registrerade om användningen av spårningsteknik, genomförande av tekniska och organisatoriska åtgärder för att dela uppgifter om sökresultat med tredje part, samt rättslig grund för överföring av uppgifter till tredjeländer.
För det första, när det gäller den rättsliga grunden för behandling av personuppgifter som samlats in med spårningverktyg, särskilt Google Analytics och Google Tag Manager, noterade Dataombudsmannens byrå att vissa cookies sattes in på webbplatsen innan man interagerade med cookie-bannern. Sådana cookies var inte strikt nödvändiga och krävde därför ett giltigt samtycke från den registrerade. Dataombudsmannens byrå ansåg att de personuppgiftsansvariga bröt mot artiklarna 5.1 (a) och 6.1 GDPR, som kräver en giltig rättslig grund för behandling av personuppgifter. Dessutom konstaterade Dataombudsmannens byrå en överträdelse av artikel 25.1 GDPR eftersom de personuppgiftsansvariga inte effektivt genomfört principen om laglighet enligt artikel 5 GDPR.
För det andra bedömde Dataombudsmannens byrå den information som lämnats till de registrerade och erinrade om att information om behandling av personuppgifter bör vara lätt tillgänglig för de registrerade. Dataombudsmannens byrå ansåg att det inte var tydligt att tillhandahålla integritetsmeddelandet i ett avsnitt som heter ”Om webbplatsen” och att det stred mot principen om öppenhet enligt artikel 5.1 (a) GDPR. Dataombudsmannens byrå noterade också att de personuppgiftsansvariga enligt artikel 13.1 (e) GDPR var skyldiga att informera de registrerade om överföringar till tredjeländer. Den information som lämnades var dock alltför allmän och otillräcklig eftersom den inte omfattade de tredjeländer eller mottagare med vilka uppgifter utanför EU skulle delas. Dataombudsmannens byrå konstaterade därför en överträdelse av artiklarna 5.1 (a), 13 och 25.1 GDPR.
För det tredje ansåg Dataombudsmannens byrå att användningen av Google Analytics för sökresultatsidan kunde leda till en säkerhetsöverträdelse i form av att uppgifterna delades med obehöriga tredje parter. Dataombudsmannens byrå förklarade att sökuppgifter på en bibliotekswebbplats kan avslöja en avsevärd mängd information om en persons privatliv och kan till exempel användas för att skapa en personlig profil av den registrerade. De personuppgiftsansvariga försumliga behandling av personuppgifter ledde till att denna information överfördes åtminstone till Google. Dataombudsmannens byrå ansåg därför att de personuppgiftsansvariga bröt mot artiklarna 32.1.2 och 25 GDPR genom att systematiskt och oavsiktligt lämna ut personuppgifter till tredje part genom en ”uppenbar” avsaknad av tekniska och organisatoriska åtgärder och genom att inte tillämpa principen om inbyggd integritet.
För det fjärde bedömde Dataombudsmannens byrå om de personuppgiftsansvariga hade en giltig rättslig grund för att överföra personuppgifter till USA. Dataombudsmannens byrå erinrade om att sedan Schrems II-domen kan de personuppgiftsansvariga inte längre förlita sig på beslutet om Privacy Shields tillräcklighet. Dataombudsmannens byrå ansåg att de personuppgiftsansvariga bröt mot artikel 44 GDPR, som kräver att överföringar ska ske i enlighet med villkoren i kapitel V i GDPR, och artikel 46 GDPR, som kräver lämpliga skyddsåtgärder i avsaknad av ett beslut enligt artikel 45 GDPR, eftersom de personuppgiftsansvariga inte tillhandahöll någon giltig rättslig grund för sina överföringar till USA.
Dataombudsmannens byrå gjorde också en allmän kommentar om offentliga myndigheters användning av spårningsteknik. Den ansåg att de personuppgiftsansvariga noggrant bör överväga vilken typ av spårningsteknik som faktiskt är nödvändig på deras webbplats och om till exempel onlinetjänsten kan tillhandahållas helt utan annan spårningsteknik än den som är nödvändig för webbplatsens funktion. De personuppgiftsansvariga bör ha en rättslig grund för sina behandlingsaktiviteter och på lämpligt sätt informera de registrerade om syftet med behandlingen.
Sammanfattningsvis beordrade Dataombudsmannens byrå, på grundval av artikel 58.2 (d) GDPR, de personuppgiftsansvariga att anpassa sina behandlingsaktiviteter till dataskyddsförordningen, bland annat genom att radera alla uppgifter som samlats in med Google Analytics och Google Tag Manager samt uppdatera den information som lämnats till de registrerade. Dataombudsmannens byrå utfärdade reprimander, enligt artikel 58.2 (b) GDPR, till de personuppgiftsansvariga för att ha brutit mot de ovannämnda bestämmelserna i dataskyddsförordningen.