AfterDawn logo

Ilmatieteen laitos sai huomautuksen henkilötietojen siirroista Googlelle

Janne Yli-Korhonen Janne Yli-Korhonen

Ilmatieteen laitokselle on annettu huomautus apulaistietosuojavaltuutetun toimesta, sillä Ilmatieteen laitos on siirtänyt henkilötietoja Yhdysvaltoihin Googlen omistavien verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta.

Ilmatieteen laitos ilmoitti tietosuojavaltuutetun toimistolle, että sillä oli verkkosivuillaan käytössä Googlen reCAPTCHA ja Google Analytics -palvelut, joiden käyttöön liittyy verkkosivukävijöiden henkilötietojen käsittelyä.

ReCAPTCHA-tunnistuksella erotetaan tietokoneohjelmat (ns. botit) ihmisistä, ja sitä käytettiin verkkosivujen palautelomakkeen yhteydessä. CAPTCHA-testi voi käytännössä olla esimerkiksi kuvavarmennus, jossa ruudukosta tulee valita tietyn sisältöisiä kuvia (kuten ajoneuvoja tai liikennevaloja).

Google Analytics -palvelua käytettiin verkkosivujen kävijätilastojen seurantaan.

Lue myös: Ensimmäinen päätös Suomessa: Google Analytics on laiton, kirjastot vuotivat tietoja Yhdysvaltoihin.


Apulaistietosuojavaltuutettu toteaa, että Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä.

Se ei myöskään ollut keskeyttänyt tiedonsiirtoja viipymättä EU-tuomioistuimen Schrems II-ratkaisun (C-311/18) jälkeen, vaikka sillä ei ollut tietojen siirtämiselle enää pätevää siirtoperustetta. EU-tuomioistuimen ratkaisussa kumottiin EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka perusteella tietoja voitiin aiemmin siirtää.

Apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.

Apulaistietosuojavaltuutetun päätöksen mukaan tietoturvaloukkauksen kohteena olevia henkilöitä arvioidaan olevan 330 000. Käyttäjistä on siirtynyt Yhdysvaltoihin IP-osoitteita ja muita tietoja, kuten tietoja vierailijan selaimesta ja vierailijan käyttämästä laitteesta.

Näistä tiedoista muodostettujen yhdistelmien vertailu mahdollistaa rekisteröityjen laajamittaisen, automatisoidun tunnistamisen ja profiloinnin. Tietoja voidaan näin käyttää rekisteröidyn tunnistamiseksi, ja niitä voidaan tunnistamis- ja profilointitarkoituksessa yhdistää myös muihin, samasta käyttäjästä kerättyihin tietoihin.


Ilmatieteen laitos on ilmoittanut ryhtyneensä toimenpiteisiin reCAPTCHA- ja Google Analytics -palveluiden poistamiseksi verkkosivuiltaan. Apulaistietosuojavaltuutettu määräsi Ilmatieteen laitoksen poistamaan henkilötiedot, jotka oli siirretty Yhdysvaltoihin ilman asianmukaista siirtoperustetta.

Päätös ei ole vielä lainvoimainen. Siihen voi hakea muutosta valittamalla hallinto-oikeuteen.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki