...i još tri grada u Finskoj, jer su obrađivali osobne podatke posjetitelja službenih web stranica omogućivši Google Analytics i Google Tag Manager na stranicama.
 
Finsko nadzorno tijelo zatražilo je da odmah prestanu s takvom praksom i da izbrišu sve prikupljene podatke.
 
Gradovi Helsinki, Espoo, Vantaa i Kauniainen koristili su Google Analytics i Google Tag Manager sa serverima smještenim u SAD, kao tehnološki alat za analitiku na svom online sustavu (https://helmet.fi) javnih knjižnica za praćenje posjetitelja i poboljšanje usluge.
 
Na terminalne uređaje posjetitelja instalirali su im se navedeni Google kolačići čak i prije nego što bi im se prikazao cookie banner i prije nego bi imali mogućnost odbiti ih ili prihvatiti.
 
Informacije o obradi osobnih podataka bile su dostupne na web stranici knjižnice pod poveznicom "O web stranici". Međutim, ova opća napomena o privatnosti ne bi informirala subjekte podataka o prijenosima podataka u SAD, već bi samo spomenula da se "neki pružatelji usluga nalaze izvan EU/EEA" bez posebnih informacija o primateljima u trećim zemljama. Informacije o tehnologijama praćenja također su navedene pod naslovom "Kolačići".
 
Finsko nadzorno tijelo je potvrdilo stav da korištenje Google Analyticsa za stranicu s rezultatima pretraživanja može dovesti do sigurnosne povrede u obliku dijeljenja podataka s neovlaštenim trećim stranama te su pojasnili da podaci pretraživanja na web stranici knjižnice mogu otkriti značajnu količinu informacija o privatnom životu osoba i mogu se koristiti, na primjer, za izradu osobnog profila tih pojedinaca.
 
Nemarna obrada osobnih podataka od strane voditelja obrade dovela je do prijenosa ovih informacija Googleu. Stoga je nadzorno tijelo smatralo da su gradovi kao voditelji obrade prekršili članke 32. stavak 1. stavak 2. i 25. GDPR-a sustavnim i nenamjernim otkrivanjem osobnih podataka trećim stranama kroz 'očit' nedostatak tehničkih i organizacijskih mjera, kao i propust u provedbi načela privatnosti po dizajnu.
 
Finsko nadzorno tijelo je procijenilo jesu li voditelji obrade imali valjanu pravnu osnovu za prijenos osobnih podataka u SAD i podsjetilo da se od presude u slučaju "Schrems II" voditelji obrade više ne mogu oslanjati na odluku o primjerenosti EU-US Privacy Shielda. i da su gradovi prekršili članak 44. GDPR-a, koji zahtijeva da se prijenosi provedu u skladu s uvjetima poglavlja V. GDPR-a, kao i članak 46. GDPR-a, koji zahtijeva odgovarajuće zaštitne mjere u nedostatku odluke prema članku 45. GDPR-a.
 
 
Više o finskom slučaju:
 
https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_4672/161/2022&mtc=today
 
Image from FreePik
 
#gdprcroatia