Tämän takia WhatsApp ei sovi henkilötietojen välittämiseen
Suomen Yrittäjien asiantuntijan mukaan tietoturvan ja tietosuojan on kuljettava aina käsi kädessä.
Tietosuojavaltuutettu kertoi eilen keskiviikkona määränneensä siivousalan yrityksen muuttamaan käytäntöään, jossa asiakkaiden henkilötietoja oli välitetty työntekijöille WhatsApp-pikaviestipalvelun kautta.
Määräyksen taustalla on marraskuussa tehty kantelu, jonka mukaan siivousalan yritys käytti WhatsAppia asiakastietojen välittämiseen yritykseltä työntekijälle. Kyseisiin tietoihin lukeutuivat kantelun mukaan muun muassa asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja hälytysjärjestelmän koodi.
Tietosuojavaltuutetun mukaan yritys ei ollut noudattanut velvoitteitaan huolehtia tietojen käsittelyn turvallisuudesta ja luottamuksellisuudesta tietosuoja-asetuksen mukaisesti.
Yritys ei ollut päätöksen mukaan informoinut siivousyrityksen asiakkaita WhatsApp-sovelluksen käytöstä. Päätöksessä todetaan myös, että sovelluksen käyttämiseen liittyy riski puhelimen tietojen päätymisestä vääriin käsiin puhelimen katoamistilanteessa.
”Joka kanavassa varmistettava riittävä tietoturvan taso”
Tietosuojavaltuutettu kertoo päätöksessään, että etenkin osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse on ollut tiedoista, joiden päätyminen sivulliselle voi aiheuttaa ”selkää haittaa” rekisteröidylle.
– Normaalisti asiakastiedot pysyvät asiakasrekisterissä, jossa tietoturvasta on huolehdittu. Jos tietoja käsitellään asiakashallintajärjestelmän ulkopuolella, tietosuoja-asetuksen velvoitteiden pitää toteutua myös siellä, Suomen Yrittäjien asiantuntija Karoliina Katila kertoo.
Suomen Yrittäjien lakineuvonta saa tasaiseen tahtiin kysymyksiä liittyen GDPR:ään ja etenkin tietosuojaan.
– Näissä tilanteissa pitää olla tarkkana. Henkilötietojen käsittely on syytä ymmärtää laajasti. Joka tilanteessa ja kanavassa on varmistettava riittävä tietoturvan taso, on kyse sitten paperien käsittelystä, järjestelmistä tai sovelluksista. Tietoturva kulkee aina käsi kädessä tietosuojan kanssa, Katila huomauttaa.
Tietosuojavaltuutetun mukaan siivousalan yritys ei ollut noudattanut toimissaan muun muassa käsittelyn turvallisuuteen liittyvää artiklaa. Valtuutettu muistuttaa, että WhatsApp-sovellusta käytettäessä sopimussuhde on työntekijän ja Facebookin välillä. ”Yksityishenkilön kanssa tehtävään sopimukseen sisältyvät vastuunrajoituslausekkeet eivät lähtökohtaisesti ole yhteensopivia yrityskäytön kanssa”, valtuutetun päätöksessä kerrotaan. Sovellusta käytettäessä yrityksellä ei ollut keinoja valvoa, miten henkilötietoja käytetään. Se ei voinut myöskään asettaa sovelluksen käytölle rajoituksia.
Tiedot voivat päätyä Yhdysvaltoihin
WhatsAppia tai esimerkiksi Messengeriä käytettäessä ei voida varmistua, että tiedot eivät päätyisi EU:n ulkopuolelle. EU-tuomioistuin antoi vuoden 2020 kesällä Schrems II -nimellä tunnetun ratkaisun, jossa todetaan, että Yhdysvaltojen lainsäädäntö antaa maan tiedusteluviranomaisille mahdollisuuden päästä käsiksi Yhdysvalloissa sijaitsevaan dataan. Ratkaisun mukaan EU:sta Yhdysvaltoihin tietoja siirtävän rekisterinpitäjän on toteutettava tarvittavat lisätoimenpiteet henkilötietojen suojan varmistamiseksi ja keskeytettävä henkilötietojen siirrot, jos riittävää suojan tasoa ei voida saavuttaa.
Lataa täältä Suomen Yrittäjien laatima Yrittäjän tietosuojaopas!
