Laki & talous | 12.08.2022 05:05

Jaetaanko teillä yrityksen asiakastietoja WhatsAppissa?

Nopeasti on kuitenkin päästy siihen, että erilaisten pikaviestisovellusten (WhatsApp, Telegram, Slack ym.) käyttö on korvannut monella työpaikalla yrityksen sisäiset sähköpostit; pikaviestimillä kun saadaan työyhteisölle helposti ja nopeasti tietoa tukkimatta kaikkien sähköposteja. Mitä kaikkea työpaikan tietoa pikaviestimissä voidaan turvallisesti jakaa? Kuinka monesta työyhteisöstä löytyy sisäiset ohjeet esimerkiksi WhatsAppin käytölle? On tärkeää muistaa, että pikaviestisovellusten käyttö ei ole työelämässä ongelmatonta varsinkaan henkilötietoja käsiteltäessä.

Tietosuojavaltuutettu on ottanut työpaikalla tapahtuvaan WhatsAppin käyttöön kantaa hiljattain antamassaan päätöksessä. Tietosuojavaltuutettu on ratkaisussaan linjannut, onko WhatsApp -pikaviestipalvelun käyttäminen asiakkaiden henkilötietojen käsittelyssä ollut yleisen tietosuoja-asetuksen eli tuttavallisemmin GDPR:n mukaista.

Siivouspalveluita tarjoava X Oy on havainnut, että yrityksen ja työntekijöiden välinen sekä työntekijöiden keskinäinen yhteydenpito on helpointa toteuttaa WhatsApp-pikaviestipalvelulla. Viestintä on toteutettu siten, että yhtiön työntekijöiden ja esimiesten välillä on ollut erilaisia WhatsApp-ryhmiä, jossa työntekijöille on kerrottu asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit sekä avainboksien numerot.

X Oy:llä on tarkoitus ottaa käyttöön uusi ja paremmin suojattu viestintäkanava lähitulevaisuudessa. X Oy on tiedostanut, että WhatsApp ei ole tietoturvallisin alusta jakaa asiakkaiden henkilötietoja, mutta se toimii paremman puutteessa ja yritykseltä ei mene ”turhia” kustannuksia uuden viestintäpalvelimen käyttöönottoon ja sen toiminnan opettelemiseen. Ennen uuden järjestelmän käyttöönottoa yksi yhtiön asiakkaista oli kuitenkin havainnut, että hänen henkilötietojansa jaetaan WhatsAppissa ilman hänen lupaansa. Asiakas päätyi tekemään asiasta kantelun tietosuojavaltuutetun toimistoon.

Yhtiön vastuu henkilötietojen käsittelyssä

GDPR:ää sovelletaan Suomessa jokaiseen yritykseen, joka käsittelee henkilötietoja. Henkilötiedoilla tarkoitetaan kaikkia tietoja, kuten esimerkiksi nimeä, osoitetta ja puhelinnumeroa, joiden perusteella luonnollinen henkilö voidaan tunnistaa. Jokaisella yrityksellä on henkilötietoja liittyen mm. yrityksen asiakkaisiin, yhteistyökumppaneihin, työntekijöihin ja työnhakijoihin.

Yritys, jonka toiminnassa henkilötietoja kerätään ja joka näitä tietoja toiminnassaan käyttää, on rekisterinpitäjä. Rekisteriin kuuluu kaikki yrityksen hallussa olevat samaan käyttötarkoitukseen kerätyt tiedot riippumatta siitä, missä muodossa tiedot ovat ja missä ne fyysisesti sijaitsevat. X Oy on siis ollut yleisessä tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä, joka on käsitellyt asiakkaidensa henkilötietoja.

Tietosuojavaltuutettu on todennut päätöksessään, että rekisterinpitäjänä toiminut siivousalan yritys ei ole noudattanut toiminnassaan GDPR:n asettamia vaatimuksia rekisterinpitäjälle. Tietosuojavaltuutetun mukaan X:n Oy:n päätös käyttää WhatsAppia henkilötietojen välittämisessä on riittämätöntä muun muassa siksi, että:

i) X Oy ei pysty valvomaan, miten henkilötietoja käytetään WhatsAppissa;

ii) WhatsAppin käyttö johtaa asiakkaan henkilötietojen siirtoon kolmansiin maihin;

iii) X Oy ei ole varmistanut, onko yrityksen entiset työntekijät poistaneet keskusteluja, joissa henkilötietoja esiintyy; ja

iv) X Oy ei ollut informoinut asiakkaitaan, että heidän henkilötietojansa välitetään kolmannen osapuolen ylläpitämässä viestintäsovelluksessa.

Askelmerkit tietoturvalliseen viestintään työyhteisössä

Yrityksen tulee järjestää sisäinen viestintänsä siten, että asiakkaiden henkilötiedot pysyvät rekisterinpitäjän täydessä kontrollissa ja valvonnassa. Tietosuojavaltuutetun luettelemat puutteet X Oy:n toiminnassa ovat sellaisia, joista jokaisen yrityksen tulisi olla tietoinen.

Perussääntönä voidaan todeta, että yrityksen ja sen työntekijöiden ei tulisi lähettää asiakkaidensa tai yhteistyökumppaniensa henkilötietoja WhatsAppin tai muiden pikaviestipalvelimien kautta. WhatsAppin tai muiden pikaviestisovellusten käyttö ei ole edelleenkään kiellettyä yrityksen sisäisessä viestinnässä, mutta siellä ei tulisi jakaa mitään henkilötietoja. Mikäli pikaviestisovelluksessa kuitenkin käsitellään henkilötietoja, tulee yrityksen solmia tietojenkäsittelysopimus henkilötietoja käsittelevän viestipalvelun tarjoajan kanssa.

Jani Hovila
asianajaja, osakas
Asianajotoimisto Alfa Oy

Otto Santala
oikeusnotaari, KTM
Asianajotoimisto Alfa Oy

Kirjoittajat ovat erikoistuneita liike-elämän sopimusjärjestelyihin ja yritysten konsultointiin niiden päivittäistoimintaan liittyvissä kysymyksissä. Jani Hovila on ollut mukana useissa mittavissa ICT-projekteissa ja hänellä on vahvaa osaamista GDPR asioissa.