Behandling av personuppgifter vid användning av uppföljningsteknik på en webbplats
- Ämnesord
- Uppföljningsteknik, Informering, Överföring av personuppgifter
- År för fallet
- 2022
- Meddelats
- Diarienummer
- 4672/161/22
- Författningsgrund
- Beslut enligt EU:s allmänna dataskyddsförordning
Biträdande dataombudsmannens beslut i ett ärende som gäller behandlingens laglighet, behandlingens säkerhet, inbyggt dataskydd och dataskydd som standard, information till de registrerade och överföring av personuppgifter till tredjeländer
Inofficiell översättning granskad av Datainspektionen
Ärende
Behandling av personuppgifter vid användning av uppföljningsteknik på en webbplats som
upprätthålls av bibliotek
Personuppgiftsansvarig
Huvudstadsregionens Helmet-bibliotek: Helsingfors, Esbo, Vanda och Grankulla stad
Utredning lämnad av den personuppgiftsansvarige
Dataombudsmannens byrå har genom en begäran om utredning daterad den 7 juni 2022
bett biblioteken i huvudstaden lämna en utredning om de uppföljningstekniker som används
på webbplatsen Helmet.fi.
Helsingfors, Esbo och Grankulla har tillsammans lämnat en gemensam skriftlig utredning i
ärendet den 23 juni 2022. Vanda stad har lämnat en egen utredning med samma innehåll
den 21 juni 2022.
I sina utredningar har de personuppgiftsansvariga uppgett att det på webbplatsen Helmet.fi
utöver nödvändiga kakor, såsom kakor som används vid reservering av material och
förnyande av lån, används uppföljningstekniker för att följa upp besökarna och utveckla
webbsidorna.
Enligt utredningen används analyskakor av Google Analytics och Matomo. Google Analytics
har varit i bruk endast på innehållssidor, inte i materialsökningen eller i användarens Egna
uppgifter-del. Enligt utredningen har Helmet-biblioteken beslutat att sluta använda Google
Analytics.
De registrerade har kunnat hitta information om de uppföljningstekniker som används på
webbsidorna på webbplatsen Helmet.fi under länken ”Om webbplatsen”. Under rubriken
”Kakor” sägs följande om uppföljningsteknikerna:
Webbplatsen använder så kallade kakor (”cookies”). Med hjälp av cookies kan
vi samla in information till exempel om vilken webbsida du har kommit till den
här sidan från, vilka av våra webbsidor du har besökt, vilken webbläsare du
använder, vilken upplösning din bildskärm har och vilket operativsystem du
använder samt vilken din dators IP-adress är, det vill säga vilken internetadress
de uppgifter du skickat kommer från och var de tas emot.
En del av kakor som används på Helmet-webbplatsen är nödvändiga för att
tjänsten ska fungera och gör det möjligt att till exempel reservera material och
förnya lån. Du kan inte förhindra användningen av nödvändiga kakor.
Vi använder också till exempel statistiska kakor för att kunna utveckla
webbplatsen. Med hjälp av kakverktyget kan du förhindra användningen av
dessa och andra kakor som inte är nödvändiga med tanke på användningen av
tjänsten. Du kan när som helst ändra dina kakval. Gå till kakinställningarna. (Webbplatsen besöktes 5.8.2022.)
Under länken Om webbplatsen finns en länk till Helmet-bibliotekens kundregister, där det i
fråga om dataöverföring sägs att en del av tjänsteleverantörerna också verkar utanför EU
eller EES.
Helmet-biblioteken har den 4 augusti 2022 kompletterat utredningen från juni 2022. Enligt de
personuppgiftsansvariga kommer uppföljningsteknik under augusti-september att avlägsnas
från webbplatsen Helmet.fi, och Google Analytics ersätts med Matomos tjänst.
Om den lagstiftning som tillämpas
Europaparlamentets och rådets allmänna dataskyddsförordning (EU) 2016/679
(dataskyddsförordningen) har tillämpats sedan den 25 maj 2018. Rättsakten är en förordning
och är därför direkt tillämplig rätt i medlemsstaterna. Dataskyddsförordningen medger ett
nationellt rörelseutrymme som gör det möjligt att genom nationell lagstiftning komplettera och
precisera vissa regler som uttryckligen anges i förordningen. Förordningen preciseras genom
den nationella dataskyddslagen (1050/2018).
I artikel 5.1 a i dataskyddsförordningen föreskrivs det om öppenhetsprincipen. Principen
kräver att personuppgifter behandlas på ett öppet sätt i förhållande till den registrerade. I
artikeln föreskrivs det också om laglighetsprincipen, enligt vilken personuppgifter ska
behandlas på ett lagligt sätt. Öppenhetsprincipen och laglighetsprincipen är en del av det
krav på inbyggt dataskydd och dataskydd som standard som är en grundprincip i
förordningen (artikel 25). För att uppfylla detta krav ska den personuppgiftsansvariga i sin
verksamhet beakta dataskyddet från första början. För att det inbyggda dataskyddet och
dataskyddet som standard ska genomföras måste den personuppgiftsansvariga effektivt
verkställa dataskyddsprinciperna, såsom öppenhetsprincipen och laglighetsprincipen. (Se Europeiska dataskyddsstyrelsen: EDPB Guidelines 4/2019 on Article 25 Data Protection by
Design and by Default Version 2.0, s. 6.)
I skäl 39 i ingressen till dataskyddsförordningen sägs följande om kravet på öppenhet vid
behandling av personuppgifter: Varje behandling av personuppgifter måste vara laglig och
rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem
insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning
personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all
information och kommunikation i samband med behandlingen av dessa personuppgifter är
lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller
framför allt informationen till registrerade om den personuppgiftsansvariges identitet och
syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen
behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och
meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör
göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på
behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga
och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.
I artikel 6 i dataskyddsförordningen finns bestämmelser om behandlingens laglighet. Enligt
artikeln är behandlingen laglig endast om och i den mån som minst ett av de villkor som
räknas upp i punkt 1 i artikeln, såsom att den registrerade har lämnat sitt samtycke, är
uppfyllt.
I artiklarna 12–14 i dataskyddsförordningen finns det bestämmelser om att informera de
registrerade. Detta hör till de personuppgiftsansvarigas skyldigheter. Genom att informera de
registrerade om behandlingen av deras personuppgifter uppfyller den
personuppgiftsansvarige också öppenhetsprincipen i artikel 5.1 a i förordningen.
I artikel 13 i dataskyddsförordningen föreskrivs det om vilka uppgifter som ska tillhandahållas
den registrerade när information samlas in från den registrerade. Enligt punkt 1 i artikeln ska
den personuppgiftsansvarige, om personuppgifter som rör en registrerad person samlas in
från den registrerade, när personuppgifterna erhålls, till den registrerade lämna information
som anges i led a–e. Till denna information hör till exempel mottagarna eller de kategorier av
mottagare som ska ta del av personuppgifterna (led e) och, i tillämpliga fall, att den
personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en
internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå
föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller
artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en
kopia av dem kan erhållas eller var dessa har gjorts tillgängliga (led f). Enligt punkt 2 led a i
artikeln ska den registrerade också lämnas information om den period under vilken
personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används
för att fastställa denna period.
I artikel 25 i dataskyddsförordningen finns bestämmelser om inbyggt dataskydd och
dataskydd som standard. Enligt punkt 1 ska den personuppgiftsansvarige, med beaktande
av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning,
sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för
fysiska personers rättigheter och friheter både vid fastställandet av vilka medel behandlingen
utförs med och vid själva behandlingen genomföra lämpliga tekniska och organisatoriska
åtgärder vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom
uppgiftsminimering. Enligt punkt 2 ska den personuppgiftsansvarige genomföra lämpliga
tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast
personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen
behandlas.
I artikel 32 i dataskyddsförordningen finns bestämmelser om säkerheten i samband med
behandlingen. Enligt punkt 1 ska den personuppgiftsansvarige och personuppgiftsbiträdet
vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som
är lämplig i förhållande till risken med beaktande av den senaste utvecklingen,
genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål
samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter
och friheter. Vid bedömningen av lämplig säkerhetsnivå ska, enligt punkt 2, särskild hänsyn
tas till de risker som behandling medför, i synnerhet till oavsiktlig eller olaglig förstöring,
förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de
personuppgifter som överförts, lagrats eller på annat sätt behandlats.
I artikel 45 i dataskyddsförordningen finns bestämmelser om överföring på grundval av ett
beslut om adekvat skyddsnivå. Enligt punkt 1 får personuppgifter överföras till ett tredjeland
eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett
territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella
organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte
kräva något särskilt tillstånd.
I artikel 46 i dataskyddsförordningen finns bestämmelser om överföring av personuppgifter till
tredjeland eller en internationell organisation när överföringen omfattas av lämpliga
skyddsåtgärder. I avsaknad av ett beslut i enlighet med artikel 45.3, får en
personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett
tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga
skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva
rättsmedel för registrerade finns tillgängliga. I punkterna 2 och 3 klargörs vad som kan vara
lämpliga skyddsåtgärder.
Dataombudsmannens befogenheter i frågor som gäller kakor
205 § i lagen om tjänster inom elektronisk kommunikation (917/2014) reglerar när en
tjänsteleverantör får lagra (registrera) kakor och annan information om användningen av
tjänster på användarens terminalutrustning och använda denna information. Tillsynen över
att denna bestämmelse iakttas sköts av Transport- och kommunikationsverket Traficom. (Se 303 § 1 mom. i lagen om tjänster inom elektronisk kommunikation.) Den myndighet som är behörig att ta ställning exempelvis till huruvida kakor har fått sparas i
användarens terminalutrustning och för vilka slags kakor som användarens samtycke behövs
är följaktligen hos Transport- och kommunikationsverket Traficom.
Dataombudsmannen övervakar att dataskyddslagstiftningen iakttas. För övervakningen till
exempel av behandlingen av personuppgifter som samlats in med hjälp av
uppföljningstekniker som används på en webbplats svarar dataombudsmannens kansli.
För den behandling av personuppgifter som sammanhänger med uppföljningstekniker,
såsom kakor, på webbsidor och utförs efter att samtycke inhämtats och uppgifterna
registrerats används här termen fortsatt behandling för att göra det tydligt hur behörigheten
är delad. Denna fortsatta behandling övervakas av dataombudsmannens byrå.
Rättslig fråga
Biträdande dataombudsmannen bedömer och avgör ärendet som ovan nämnts på grundval
av dataskyddsförordningen (EU) 2016/679 och dataskyddslagen (1050/2018).
Biträdande dataombudsmannen ska avgöra följande frågor
1) huruvida de personuppgiftsansvariga har haft en laglig grund enligt artikel 6 i
dataskyddsförordningen för fortsatt behandling av personuppgifter som samlats in med hjälp
av uppföljningstekniker på webbsidor och huruvida de personuppgiftsansvarigas förfarande
till dessa delar har uppfyllt laglighetsprincipen och kraven på inbyggt dataskydd (artiklarna
5.1 a och 25.1 i dataskyddsförordningen),
2) huruvida de personuppgiftsansvarigas förfarande vid behandlingen av uppgifter från
sökning av material har stämt överens med artiklarna 25 och 32 i dataskyddsförordningen till
de delar som bedömts i detta beslut,
3) huruvida tillhandahållandet av information till de registrerade om behandlingen av
personuppgifter i samband med användning av uppföljningstekniker på webbsidor, inbegripet
internationell överföring av information, har skett i enlighet med artiklarna 5.1 a, 13 och 25.1 i
dataskyddsförordningen, och
4) huruvida de personuppgiftsansvarigas förfarande i samband med internationell
dataöverföring har stämt överens med artiklarna 44 och 46 i dataskyddsförordningen och
huruvida det har funnits en laglig grund för att överföra personuppgifter till USA.
Biträdande dataombudsmannens beslut
Beslut
Helmet-biblioteken har inte haft en rättslig grund för fortsatt behandling av personuppgifter
som samlats in på webbplatsen Helmet.fi, utan de har behandlat dessa personuppgifter
exempelvis för att kunna utveckla webbsidorna utan laglig behandlingsgrund (artiklar som
överträtts: 5.1 a, 6.1 och 25.1).
Inte heller har Helmet-bibliotekens förfarande vid behandlingen av data från
materialsökningar stått i samklang med dataskyddslagstiftningen, utan biblioteken har förfarit
så att data från materialsökningar har kunnat läcka ut till utomstående (artiklar som
överträtts: 25, 32.1 och 32.2).
Helmet-biblioteken har dessutom informerat de registrerade bristfälligt om den behandling av
personuppgifter som sammanhänger med de uppföljningstekniker som används på
webbplatsen Helmet.fi inbegripet om dataöverföring till tredjeländer (artiklar som överträtts:
5.1 a, 13.1, 13.2 och 25.1), och det har i brist på kompletterande skyddsåtgärder inte funnits
någon laglig grund för överföringen av personuppgifter till USA (artiklar som överträtts: 44
och 46).
De personuppgiftsansvariga föreläggs i enlighet med artikel 58.2 d i dataskyddsförordningen
att radera de personuppgifter som samlats in med hjälp av uppföljningstekniker på webbsidor
i fråga om de registrerade vars personuppgifter efter att de samlats in har lagrats eller
använts på olika sätt utan laglig behandlingsgrund.
Detta föreläggande omfattar också personuppgifter som har samlats in med hjälp av
uppföljningstekniker och utan laglig överföringsgrund har överförts till USA. De
personuppgiftsansvariga föreläggs dessutom att se till att behandlingen av personuppgifter
sker i enlighet med dataskyddslagstiftningen och, när det gäller att tillhandahålla de
registrerade information om behandling (inkl. överföring) av personuppgifter som samlas in,
med hjälp av uppföljningstekniker se till att kraven i dataskyddslagstiftningen uppfylls.
Helmet-biblioteken ska senast den 15 februari 2022 lämna dataombudsmannens byrå en
utredning om de åtgärder som vidtagits till följd av detta föreläggande, om ändring inte söks i
detta beslut.
Eftersom Helmet-biblioteken har meddelat att de utan dröjsmål vidtar åtgärder för att
avlägsna uppföljningstekniker från webbplatsen Helmet.fi, förelägger biträdande dataombudsmannen inte i detta beslut de personuppgiftsansvariga att upphöra med
behandlingen av personuppgifter och avbryta överföringen av uppgifter.
En reprimand enligt artikel 58.2 b i dataskyddsförordningen utfärdas till de
personuppgiftsansvariga för behandling av personuppgifter som strider mot bestämmelser i
dataskyddsförordningen. De personuppgiftsansvariga har genom sitt förfarande enligt vad
som ovan konstaterats brutit mot artiklarna 5.1 a, 6.1, 13.1, 13.2, 25, 32.1, 32.2, 44 och 46 i
dataskyddsförordningen.
Motiveringar
Grund för behandling av personuppgifter
I det fall som nu bedöms har Helmet-biblioteken på webbplatsen Helmet.fi använt olika slag
av uppföljningsteknik, såsom analysverktyget Google Analytics och tjänsten Google Tag
Manager.
När det gäller behandlingsgrunden fäster biträdande dataombudsmannen särskild vikt vid att
Helmet-biblioteken på sin webbplats har installerat olika slags uppföljningsteknik som tar sig
in i på besökarens terminalutrustning så snart denne anlänt till webbplatsen innan till
exempel ett fönster som används för att inhämta samtycke till användning av kakor (en s.k.
kakbanner) ens har visats för användaren. Helmet-biblioteken har använt dessa
personuppgifter till exempel för att utveckla tjänsten, och uppgifterna har också funnit sin väg
till tillhandahållarna av uppföljningstjänsterna för användning i deras företagsverksamhet.
Vad gäller registrering och användning av personuppgifter konstaterar biträdande
dataombudsmannen att det är 205 § i lagen om tjänster inom elektronisk kommunikation
som ska tillämpas. Tillämpningen övervakas av Transport- och kommunikationsverket
Traficom. För att den fortsatta behandling av personuppgifter efter att samtycke har
inhämtats och uppgifterna registrerats med hjälp av uppföljningsteknik ska uppfylla
dataskyddslagstiftningen måste de krav som gäller installation av kakor och annan
uppföljningsteknik i 205 § i lagen om tjänster inom elektronisk kommunikation först
uppfyllas. I fråga om dessa grundläggande krav är det i enlighet med vad som konstaterats
ovan Traficom som ska bedöma om användning av uppföljningsteknik i webbsidor är laglig.
Eftersom kakbannern på webbplatsen Helmet.fi, genom vilken det har varit meningen att
samtycke till användningen av kakor ska inhämtas, inte har fungerat korrekt, får det
emellertid anses uppenbart att ett giltigt samtycke inte har inhämtats. Den fortsatta
behandlingen har därför inte skett enligt dataskyddslagstiftningen.
Eftersom Helmet-biblioteken har använt personuppgifter som samlats in med hjälp av
uppföljningsteknik utan laglig behandlingsgrund har förfarandet stått i strid med artiklarna 5.1 a och 6.1 i dataskyddsförordningen, vilka kräver att det för behandling av personuppgifter,
inklusive fortsatt behandling av personuppgifter som samlats in med hjälp av
uppföljningsteknik på webbsidor, finns en laglig och de facto tillämpbar behandlingsgrund.
Förfarandet har likaså stridit mot artikel 25 i dataskyddsförordningen, och vid behandlingen
av personuppgifter har de personuppgiftsansvariga inte sett till att dataskyddet beaktats i
deras verksamhet på ett sådant sätt att kraven på inbyggt dataskydd uppfyllts. Artikel 25.1 i
dataskyddsförordningen (inbyggt dataskydd) kräver att den personuppgiftsansvarige effektivt
verkställer dataskyddsprinciperna i artikel 5, däribland laglighetsprincipen i artikel 5.1 a.
Risk att utomstående har fått tillgång till uppgifter som samlats in vid materialsökningar
Helmet-biblioteken har i den utredning som lämnats till dataombudsmannens byrå uppgett att
analystjänsten Google Analytics har använts endast på innehållssidorna, inte i
materialsökningen eller på sidorna Egna uppgifter.
Biträdande dataombudsmannen konstaterar efter att ha utrett frågan följande: På
webbplatsen Helmet.fi kan verk sökas med hjälp av funktionen för materialsökning. Då syns
till exempel den sökta bokens titel i URL:en för sidan med sökresultat, dvs. i fältet för sidans
webbadress (t.ex. https://haku.helmet.fi/iii/encore/record/C Rb2347993 Smuumipappa%
20ja%20meri Orightresult U X7?lang=fin&suite=cobalt).
Om användaren efter detta via en länk på sidan med sökresultat har gått till exempelvis
webbplatsen Helmet.fi:s framsida där tjänsten Google Analytics har varit i bruk, har uppgifter
om det verk som sökts kunnat hamna hos Google via Referers http-rubrikfält. Det bör
noteras att Helmet-biblioteken inte har definierat till exempel en så kallad Referrer Policy
genom vilken det hade varit möjligt att förhindra att information från materialsökningar
hamnar hos utomstående.
Information från sökning av verk i ett bibliotek kan avslöja en betydande mängd uppgifter om
en persons privatliv, och de kan användas för att skapa en personprofil för den registrerade.6
Ovarsamhet vid behandlingen av personuppgifter har i föreliggande fall lett till att sådana
uppgifter veterligen har förmedlats åtminstone till Google, som har kunnat använda dem.
Artikel 32 i dataskyddsförordningen (säkerhet i samband med behandlingen) kräver att den
personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder bland annat
för att säkerställa att utomstående inte kommer åt personuppgifter.
Artikel 25 i dataskyddsförordningen (inbyggt dataskydd och dataskydd som standard) kräver
att dataskyddet byggs in i den personuppgiftsansvariges verksamhet och beaktas i all
behandling av personuppgifter som standard. När personuppgifter oavsiktligt kan hamna hos
tredjeparter på ett systematiskt sätt är det uppenbart att det finns brister i hur det inbyggda
dataskyddet och dataskyddet som standard utformats. Eftersom det i Helmet-bibliotekens verksamhet har varit möjligt att uppgifter från materialsökningar har läckt till utomstående,
uppfyller de personuppgiftsansvarigas förfarande till dessa delar inte kraven i artiklarna 32.1,
32.2 och 25 i dataskyddsförordningen.
Information till de registrerade
Information om dataskyddet i fråga om den uppföljningsteknik som Helmet-biblioteken
använder har varit tillgänglig för de registrerade via länken Om webbplatsen på webbplatsen
Helmet.fi. Via länken Om webbplatsen har man också kommit åt en länk till Helmetbibliotekens
kundregister, där det i fråga om dataöverföring sägs att en del av
tjänsteleverantörerna också verkar utanför EU eller EES.
Dataskyddsinformationen ska kunna hittas lätt av den registrerade. Av rubriken Om
webbplatsen framgår det inte tydligt att den information om behandlingen av personuppgifter
som lagen kräver hittas via länken. Dataskyddsinformationen kan således inte anses vara
lätt att hitta för den registrerade, och kravet på öppenhet i behandlingen av personuppgifter
uppfylls inte till dessa delar.
I fråga om uppföljningstekniken innehåller den information som tillhandahålls de registrerade
inte information om vilka tjänsteleverantörers (såsom Google) uppföljningsteknik som
används vid behandlingen av personuppgifter och hur länge uppgifterna lagras. Artikel 13 i
dataskyddsförordningen kräver till exempel att den registrerade tillhandahålls information om
de mottagare eller kategorier av mottagare som ska ta del av personuppgifterna (artikel 13.1
d) och den period under vilken personuppgifterna kommer att lagras (artikel 13.2 a).
EU-domstolen har till exempel i sin dom C-673/17 EU fastställt att tjänsteleverantören ska lämna
webbplatsanvändaren information om kakornas funktionstid och möjligheten för tredje part
att få tillgång eller inte till dessa kakor.
De som registrerats enligt artikel 13 i dataskyddsförordningen ska också informeras om
överföring av personuppgifter till tredjeländer och om överföringsgrunden (artikel 13.1 e). I
det fall som är under prövning har man gett informationen att en del av tjänsteleverantörerna
verkar även utanför EU eller EES. Detta räcker inte för att man ska kunna bilda sig en
uppfattning till exempel om vilka tjänsteleverantörer det är fråga om och på vilken grund det
har ansetts möjligt att överföra personuppgifter till länder utanför EU- och EES-området.
Informationen har dessutom placerats under en länk till kundregistret, och är därför inte lätt
att hitta för de registrerade.
Tillhandahållandet av information för de registrerade om den behandling av personuppgifter
som sammanhänger med användningen av uppföljningsteknik, inklusive överföringen av
uppgifter, är enligt vad som sagts ovan bristfälligt, och den registrerade kan inte på grundval
av den information som getts få en klar uppfattning om hur och under vilka villkor dennes
personuppgifter verkligen behandlas i denna kontext.
Överföring av uppgifter till tredjeländer vid användning av uppföljningsteknik
På webbplatsen Helmet.fi har det använts uppföljningstekniker genom vilka personuppgifter
för dem som använt webbplatsen har överförts också till tredjeländer. Man har till exempel
anlitat det amerikanska företaget Googles tjänster, däribland Google Analytics och Google
Tag Manager.
Förenta staternas myndigheters åtkomst till personuppgifter
År 2013 visade det sig att en del av världens största teknikföretag, såsom Microsoft,
Facebook (Meta), Google, Skype och Apple, deltog i Förenta staternas nationella
säkerhetsmyndighet NSA:s övervakningsprogram.
Till dessa program hör PRISM som har gett NSA direkt tillgång till teknikföretagens
centralservrar, och de amerikanska myndigheterna kan därför i realtid se och samla in
exempelvis alla vanliga medborgares datatrafik till Google utan medverkan av Google.
Föremål för insamlingen har i praktiken varit exempelvis e-postmeddelanden, fotografier,
internetchattar och samtalsdata. Insamlingen av data har särskilt gällt utlänningar, dvs. i
praktiken till exempel i Norden personer som använder Googles och andra teknikjättars
tjänster.
De amerikanska företagen ska likaså efter en juridiskt bindande begäran från myndigheten
överlämna personuppgifter till myndigheten enligt USA:s nationella lagstiftning. Följaktligen
gäller myndigheternas tillgång till personuppgifter också aktörer som inte deltar i NSA:s
övervakningsprogram.
Europeiska kommissionen publicerade den 27 november 2013 en rapport enligt vilken
förenta staterna har bekräftat PRISM-programmets existens och att programmet har sin
rättsliga grund i akten Foreign Intelligence Surveillance Act 1978 (FISA).
Google och överföring av data till USA
I föreliggande ärende har huvudstadsregionens bibliotek på sin webbplats Helmet.fi använt
tjänster från Google såsom analysverktyget Google Analytics. Tjänsten Google Analytics
läser och lagrar data som samlats in med hjälp av kakor som installeras i användarens
webbläsare. Dessa data överförs till Googles servrar i Förenta staterna (Enligt den utredning som Google lämnat till den franska dataskyddsmyndigheten (CNIL) i ärendet
med dnr MDM221005.). Personuppgifter som samlats in på webbplatsen Helmet.fi har följaktligen överförts till Förenta staterna.
Dataskyddsförordningen kräver att överföring av personuppgifter från unionen till
personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeländer inte
äventyrar den nivå på skyddet för personuppgifter som anges i dataskyddsförordningen, och
för att uppnå en tillräcklig nivå på dataskyddet vid överföring av data mellan EU och USA har
man tidigare använt det arrangemang som kallats Privacy Shield. Unionens domstol har
likväl i sin dom C-311/18 (den s.k. Schrems II-domen) fastställt att beslut 2016/1250 om
tillräckligheten i nivån på det dataskydd som erbjuds av arrangemanget Privacy Shield
mellan EU och USA är ogiltigt.
I sin dom anser unionens domstol att de begränsningar av skyddet av personuppgifter som
följer av Förenta staternas interna bestämmelser om åtkomst till och användning av sådana
uppgifter som överförts från unionen till Förenta staterna inte är reglerade på ett sådant sätt
att de uppfyller de krav som följer av unionsrätten. De registrerade ges inte heller några
verkställbara rättigheter som kan göras gällande mot amerikanska myndigheter vid
domstol. Unionens domstol har vidare fastställt att den personuppgiftsansvarige är skyldig
att avbryta överföringen av personuppgifter till ett tredjeland, om den inte kan vidta ytterligare
åtgärder som är tillräckliga för att säkerställa skyddet av personuppgifter.
I föreliggande ärende har Helmet-biblioteken enligt utredningen i sin verksamhet inte på ett
adekvat sätt beaktat det som EU-domstolen fastställt i dom C-311/18, utan de har på sin
webbplats använt webbteknik som innefattar dataöverföring till USA utan kompletterande
skyddsåtgärder.
När det gäller kompletterande skyddsåtgärder, såsom kryptering av personuppgifter, lyfter
biträdande dataombudsmannen i detta sammanhang fram att till exempel Google enligt
FISA-regleringen är skyldigt att ge USA:s myndigheter krypteringsnyckeln. Om en
kompletterande skyddsåtgärd som vidtas av den personuppgiftsansvarige till exempel gör
det möjligt för Google att komma åt okrypterade data, uppfyller åtgärden med andra ord inte
de krav som EU-domstolen fastställt i dom C-311/18. Den personuppgiftsansvarige ska i
sin verksamhet också säkerställa att den amerikanska myndigheten inte får tillgång till
personuppgifter till exempel med stöd av nationell lagstiftning i USA, såsom CLOUD Act.
Eftersom Helmet-biblioteken i den utredning som de lämnat dataombudsmannens byrå har
berättat att de har använt också Matomos tjänst och att Google Analytics kommer att
ersättas med Matomos analystjänst, lyfter biträdande dataombudsmannen likaså fram att de
personuppgiftsansvariga också när det gäller Matomos tjänst är skyldiga att sörja för att det
vid användningen av tjänsten inte förekommer internationella dataöverföringar som strider
mot dataskyddslagstiftningen och att behandlingen av personuppgifter vid användningen av
tjänsten också i övrigt sker i enlighet med dataskyddsförordningen. Tjänsten i fråga är inte
per automatik sådan att användningen inte skulle kunna leda till sådana dataöverföringar.
Helmet-biblioteken har genom det förfarande som beskrivits ovan brutit mot artikel 44 i
dataskyddsförordningen, som kräver att överföring av personuppgifter uppfyller villkoren i
kapitel V i förordningen, och mot artikel 46 i förordningen. Artikel 46 kräver lämpliga
skyddsåtgärder när ett beslut enligt artikel 45 saknas. En laglig grund för överföringen av de
registrerades personuppgifter till Förenta staterna saknas.
Helmet-biblioteken har enligt den utredning som de lämnat vidtagit åtgärder för att avlägsna
uppföljningsteknikerna från webbplatsen Helmet.fi, och dataombudsmannens byrå har i
samband med detta instruerat Helmet-biblioteken att säkerställa att de inte har kvar tjänster
som medför sådana överföringar av personuppgifter till USA som strider mot
dataskyddslagstiftningen.
Allmänt om uppföljningsteknik som används på myndigheternas webbplatser
I fråga om uppföljningsteknik som myndigheter använder på sina webbplatser konstaterar
biträdande dataombudsmannen på ett allmännare plan än det aktuella fallet följande:
Biträdande dataombudsmannen understryker att myndigheters webbtjänster i princip ska
kunna användas utan risk för att de registrerade utsätter sig för att tredjeparter samlar in
information om dem med hjälp av uppföljningsteknik och utan att information om besök på
webbsidan blir tillgänglig till exempel för kommersiella ändamål och för profilering som görs
av utomstående aktörer. Det bör beaktas att Google till exempel i användarvillkoren för
tjänsten Google Analytics meddelar att företaget kan använda uppgifter som det fått tillgång
till med hjälp av uppföljningsteknik för sina egna syften.
En myndighet får inte heller på sin webbplats använda besökarnas personuppgifter som
betalning, och myndigheten ska därför göra en adekvat bedömning av om det är fråga om
exempelvis en avgiftsfri tjänst där de registrerades personuppgifter de facto lämnas ut som
motprestation.
Myndigheten ska likaså vad gäller den fortsatta behandlingen beakta att när
behandlingsgrunden för personuppgifterna är den registrerades samtycke ska samtycket
vara uttryckligt, informerat och omfatta alla behandlingsändamål inbegripet eventuellt
utlämnande av uppgifterna. För alla olika behandlingsändamål bör man också inhämta
separat samtycke för att exempelvis kravet att samtycket ska vara frivilligt de facto ska
uppfyllas, och samtycken som ska inhämtas för olika användningsändamål kan inte buntas
ihop under ett enda samtycke. Ett berättigat intresse är enligt artikel 6.1 i
dataskyddsförordningen inte en behandlingsgrund som tillämpas i myndigheters
verksamhet.
En myndighet ska noga överväga hurdan uppföljningsteknik som verkligen behövs på dess
webbplats och om myndighetens webbtjänst kan tillhandahållas utan annan
uppföljningsteknik än den som är nödvändig för webbplatsens funktion. I en sådan
bedömning är det motiverat att beakta att det bland besökarna på myndighetens webbplats
kan finnas personer i svagare ställning, inbegripet äldre och barn, vars digitala färdigheter
kan vara bristfälliga eller för vilka det kan vara svårt att förstå vad behandlingen av
personuppgifter via uppföljningsteknik handlar om och för vilka ändamål uppgifterna kan
komma att användas.
Det bör beaktas att när uppföljningsteknik används på en webbplats är det möjligt att följa
en besökare när denna förflyttar sig till andra webbplatser, vilket exempelvis gör det möjligt
att spåra användarens navigeringsväg och handlingar på webben och att skapa en
detaljerad profil på personen i fråga. Eftersom tredjeparter kan bedriva en betydande
insamling av personuppgifter med hjälp av uppföljningsteknik, ska myndigheter vara särskilt
omsorgsfulla när de fattar beslut om vilken uppföljningsteknik som ska installeras på deras
webbplatser. Användning av uppföljningsteknik på webbsidor förutsätter såväl teknisk
sakkunskap som insikter i dataskyddsjuridik, inklusive begreppet personuppgift.
Tillämpade bestämmelser
De som nämns i motiveringarna
Ändringssökande
Enligt 25 § i dataskyddslagen (1050/2018) får detta beslut överklagas genom besvär hos
förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).
Besvären riktas till förvaltningsdomstolen.
Delgivning
Beslutet delges i enlighet med 60 § i förvaltningslagen (434/2003) per post mot
mottagningsbevis.
Ytterligare information om detta beslut ges av föredragande
Niina Miettinen, överinspektör, tel. 029 566 6774 niina.miettinen@om.fi
Biträdande dataombudsman Heljä-Tuulia Pihamaa