Ilmatieteen laitokselle huomautus henkilötietojen siirroista yh­dys­val­ta­lais­yri­tys Googlelle

22.05.2023 10:44

Apulaistietosuojavaltuutettu on antanut Ilmatieteen laitokselle huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Lisäksi Ilmatieteen laitos oli jättänyt tekemättä tietosuojaa koskevan vaikutustenarvioinnin kansainvälisistä tiedonsiirroista.

Ilmatieteen laitos ilmoitti tietosuojavaltuutetun toimistolle, että sillä oli verkkosivuillaan käytössä Googlen reCAPTCHA ja Google Analytics -palvelut, joiden käyttöön liittyy verkkosivukävijöiden henkilötietojen käsittelyä. ReCAPTCHA-tunnistuksella erotetaan tietokoneohjelmat (ns. botit) ihmisistä, ja sitä käytettiin verkkosivujen palautelomakkeen yhteydessä. Google Analytics -palvelua käytettiin verkkosivujen kävijätilastojen seurantaan.

Apulaistietosuojavaltuutettu toteaa, että Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä. Se ei myöskään ollut keskeyttänyt tiedonsiirtoja viipymättä EU-tuomioistuimen Schrems II-ratkaisun (C-311/18) jälkeen, vaikka sillä ei ollut tietojen siirtämiselle enää pätevää siirtoperustetta. EU-tuomioistuimen ratkaisussa kumottiin EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka perusteella tietoja voitiin aiemmin siirtää.

Apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.

Ilmatieteen laitos ei myöskään ollut tehnyt tietosuoja-asetuksen edellyttämää vaikutustenarviointia. Tietosuojan vaikutustenarviointi olisi pitänyt tehdä seurantateknologioiden käyttöön liittyvästä kansainvälisestä henkilötietojen siirrosta.

Ilmatieteen laitos on ilmoittanut ryhtyneensä toimenpiteisiin reCAPTCHA- ja Google Analytics -palveluiden poistamiseksi verkkosivuiltaan. Apulaistietosuojavaltuutettu määräsi Ilmatieteen laitoksen poistamaan henkilötiedot, jotka oli siirretty Yhdysvaltoihin ilman asianmukaista siirtoperustetta.

Päätös ei ole vielä lainvoimainen. Siihen voi hakea muutosta valittamalla hallinto-oikeuteen.

Apulaistietosuojavaltuutetun päätös (pdf)

Lähde: Tietosuojavaltuutetun toimiston tiedote

Kirjoittaja Juridiikan ja talouden uutiskirjeen toimitus

Tilaa uutiskirje

Juridiikan ja talouden uutiskirje

Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.

Aiheeseen liittyvää