Pirkanmaan pelastuslaitos pyysi minua itsearvioimaan kiinteistöni paloturvallisuuden. Huomasin kyselyn toteutuksessa vakavan tietosuojaongelman. EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 13 edellyttää, että rekisteröityä informoidaan henkilötietojen käsittelystä silloin, kun tiedot kerätään. Tällaista informointia ei kuitenkaan annettu paperilomakkeen mukana eikä myöskään verkkolomakkeessa.
Verkkolomake sijaitsee osoitteessa https://kyselylomake.fi/pirkanmaan-pelastuslaitos/pientalo/. Kyseisen verkkotunnuksen omistaa helsinkiläinen osakeyhtiö, joka kertoo olevansa kohdistetun markkinointiviestinnän edelläkävijä Suomessa. Yhtiön mukaan sen päivittäistä arkea on tarkkaakin tarkemmat osoitepoiminnat, kohderyhmämääritykset ja asiakasrekistereiden hyödyntäminen. Oletettavasti tämä osakeyhtiö on toteuttanut kyselyn käytännössä ja toimii henkilötietojen käsittelijänä Pirkanmaan pelastuslaitoksen lukuun. Koska totuutta ei kerrota missään, rekisteröity ei voi tietää, kuka hänen tietojaan käsittelee.
Verkkolomake on toteutettu avoimen lähdekoodin WordPress-julkaisujärjestelmällä ja sen Gravity Forms -lisäosalla. Ainakin näin voidaan päätellä kyselylomakkeen html-lähdekoodia tutkimalla. WordPress ja sen lisäosat ovat niin sanottuja palvelinpuolen ohjelmistoja. Tämä tarkoittaa lähtökohtaisesti, ettei mitään tietoja tallenneta mihinkään pilveen. Silti punainen varoitusvalo palaa pääni sisällä; suomalainen viranomainen käyttää WordPressiä henkilötietojen keräämisessä.
Verkkolomakkeen lopussa todetaan, että lomakkeella kerättyjä henkilötietoja käytetään pelastuslaitoksen tietosuojaselosteen mukaisesti valvontatoimien suorittamiseen ja niistä tiedottamiseen, eikä tietoja luovuteta eteenpäin. Linkkiä tietosuojaselosteeseen tai vastaavaan informointiin ei ollut. Kokeilin pöytäkoneen Edge- ja Firefox-selaimilla sekä Android-puhelimen Edge-mobiiliselaimella.
Pirkanmaan pelastuslaitos on osa Pirkanmaan hyvinvointialuetta. Yksityishenkilöt voivat ilmoittaa tietosuojaloukkauksista tietosuojavaltuutetun toimistolle osoitteessa https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle. Itse en ilmoittanut vaan sen sijaan kirjoitin tämän artikkelin.