Hyppää sisältöön

Yritykselle huomautus asiakkaiden henkilötietojen välittämisestä työntekijöiden henkilökohtaisiin puhelimiin WhatsAppilla

Julkaisuajankohta 8.12.2021 9.41
Tiedote

Tietosuojavaltuutettu on määrännyt siivousalan yrityksen muuttamaan käytäntöään, jossa asiakkaiden henkilötietoja oli välitetty työntekijöille WhatsApp-pikaviestipalvelun kautta. Käyttäessään WhatsApp-sovellusta asiakkaiden henkilötietojen käsittelyssä yritys ei ollut noudattanut velvoitteitaan huolehtia tietojen käsittelyn turvallisuudesta ja luottamuksellisuudesta tietosuoja-asetuksen mukaisesti.

Siivousyritys oli välittänyt WhatsApp-pikaviestinpalvelun kautta työntekijöiden henkilökohtaisiin puhelimiin asiakkaiden tietoja, joihin lukeutuivat esimerkiksi asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot.

Tietosuojavaltuutettu toteaa, että kun sovellusta käytetään henkilökohtaisessa puhelimessa, sopimussuhde on yksityishenkilön eli työntekijän ja Facebookin välillä, eikä rekisterinpitäjällä ole keinoja valvoa, miten henkilötietoja palvelussa käytetään. Yrityksen antaman selvityksen perusteella se ei myöskään ollut kertonut asiakkailleen WhatsAppin käytöstä henkilötietojen käsittelyssä.

Yrityksen käytäntö ei vastannut tietosuoja-asetuksessa määriteltyä sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta, jonka mukaan rekisterinpitäjän on otettava tietosuoja huomioon henkilötietojen käsittelyssä alusta alkaen. Tietosuojavaltuutettu antoi yritykselle huomautuksen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä ja määräsi sen muuttamaan toimintatapansa tietosuojasäännösten mukaiseksi.

WhatsAppin käyttö johtaa todennäköisesti henkilötietojen siirtämiseen EU:n ulkopuolelle

Tietosuojavaltuutettu kiinnittää päätöksessään erityistä huomiota siihen, että WhatsApp-sovelluksen käyttö on todennäköisesti johtanut asiakkaiden henkilötietojen siirtoon EU:n alueelta kolmansiin maihin, kuten Yhdysvaltoihin.

Kesällä 2020 EU-tuomioistuin totesi niin sanotussa Schrems II -ratkaisussaan (C-311/18) EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn pätemättömäksi, koska tiedonsiirroissa EU:n ja Yhdysvaltojen välillä ei ollut turvattu riittävää tietosuojan tasoa. Ratkaisun mukaan rekisterinpitäjän on keskeytettävä henkilötietojen siirrot kolmanteen maahan, jos se ei voi toteuttaa riittäviä lisätoimenpiteitä henkilötietojen suojan varmistamiseksi.

Tiedonsiirtojen osalta tietosuojavaltuutettu ei käyttänyt korjaavia toimivaltuuksiaan, sillä asian selvitystyö tehtiin ennen kuin EU:n tiedonsiirtoja koskevia ohjeistuksia ja siirtomekanismeja päivitettiin Schrems II -ratkaisun myötä.  

Tietosuojavaltuutetun päätös (pdf)

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Lue verkkosivuiltamme lisää henkilötietojen siirroista ETA-alueen ulkopuolelle
Sivun alkuun