Anmärkning till företag för sändning av kunders personuppgifter till arbetstagarnas personliga telefoner via applikationen WhatsApp
Dataombudsmannen har ålagt ett företag i städbranschen att ändra sina rutiner, där kundernas personuppgifter sänts till arbetstagarna via snabbmeddelandetjänsten WhatsApp. När företaget använde applikationen WhatsApp hade företaget inte iakttagit sina skyldigheter att se till att uppgifterna behandlas säkert och konfidentiellt i enlighet med dataskyddsförordningen.
En städfirma hade skickat kunduppgifter via snabbmeddelandetjänsten WhatsApp. Uppgifterna inkluderade till exempel kundernas namn, adresser, telefonnummer, portkoder och nyckelboxnummer.
Dataombudsmannen konstaterar att när applikationen används i en personlig telefon, gäller avtalsförhållandet mellan en privatperson, dvs. arbetstagaren och Facebook, och den personuppgiftsansvarige har inga metoder att övervaka hur personuppgifterna används i tjänsten. Enligt den redogörelse som företaget lämnat hade det inte heller berättat för kunderna om att WhatsApp används vid behandlingen av personuppgifter.
Företagets rutiner svarade inte mot kravet på inbyggt dataskydd och dataskydd som standard som fastställs i dataskyddsförordningen. Enligt kravet ska den personuppgiftsansvarige ta hänsyn till dataskyddet från början av behandlingen av personuppgifter. Dataombudsmannen gav företaget en anmärkning om behandling av personuppgifter i strid med dataskyddsförordningen och ålade det att ändra sitt verksamhetssätt så att det stämmer överens med dataskyddsbestämmelserna.
Användningen av WhatsApp leder sannolikt till att personuppgifter överförs utanför EU
Dataombudsmannen fäster i sitt beslut särskild vikt vid att användningen av applikationen WhatsApp sannolikt har lett till överföring av kundernas personuppgifter från EU till tredjeländer, som Förenta staterna.
Sommaren 2020 konstaterade EU-domstolen i det så kallade Schrems II-avgörandet (C-311/18) att arrangemanget Privacy Shield mellan EU och Förenta staterna var ogiltigt, eftersom en adekvat nivå på dataskyddet inte hade säkerställts i överföringen av uppgifter mellan EU och Förenta staterna. Enligt avgörandet ska den personuppgiftsansvarige avbryta överföringar av personuppgifter till tredjeländer, om den inte kan vidta tillräckliga tilläggsåtgärder för att säkerställa skyddet för personuppgifter.
I fråga om överföring av personuppgifter utövade dataombudsmannen inte sina korrigerande befogenheter, eftersom utredningen av ärendet gjordes innan anvisningarna och överföringsmekanismerna för överföring av uppgifter uppdaterades inom EU i och med Schrems II-avgörandet.
Dataombudsmannens beslut på finska i Finlex
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766