Tietosuoja: asiakastietojen käsittely whatsapissa ei ole sallittua

Tietosuojavaltuutetun toimisto: Yritykselle huomautus asiakkaiden henkilötietojen välittämisestä työntekijöiden henkilökohtaisiin puhelimiin WhatsAppilla

Tietosuojavaltuutetun uutisen mukaan WhatsAppin käyttö asiakastietojen käsittelyyn on yksiselitteisesti kiellettyä. Käyttäessään WhatsApp-sovellusta asiakkaiden henkilötietojen käsittelyssä yritys ei ollut noudattanut velvoitteitaan huolehtia tietojen käsittelyn turvallisuudesta ja luottamuksellisuudesta tietosuoja-asetuksen mukaisesti.

Ongelma on sama riippumatta siitä omistaako yritys puhelimet vai ovatko puhelimen työntekijöiden henkilökohtaisessa käytössä. Molemmissa tapauksissa WhatsApp soveltuu heikosti henkilötietojen käsittelyyn, sillä WhatsAppiin ladatut tekstit ovat WhatsAppin ja sen emoyhtiön käytettävissä.

Asia voitaisiin kiertää sopimalla asiasta nimenomaisesti WhatsAppin kanssa siten, että tietoja käytettäisiin nimenomaisesti potilastietojen välittämiseen ja että arkaluonteisten henkilötietojen tietosuojasta ja jatkokäsittelystä olisi erikseen huolehdittu.

Tietosuojavaltuutetun toimisto kiinnittää huomiota tiedotteessaan myös siihen, että tietoja on WhatsAppin kautta päätynyt todennäköisesti EU:n ulkopuolelle. Tämä on kiellettyä, jollei tietojen suojauksesta ole huolehdittu erikseen. EU-tuomioistuin on erikseen todennut kesällä 2020, että EU:n ja Yhdysvaltojen välinen sopimusjärjestely on tältä osin riittämätön.