Tietosuojavaltuutettu arvioi henkilötietojen jo päätyneen Yhdysvaltoihin.
Yritys lähetti WhatsAppiin muun muassa asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot. Kuva: Markku Ulander / Lehtikuva, Zumapress / MVPhotos
Suomalainen siivousalan yritys ei saa käyttää amerikkalaista WhatsApp-pikaviestintä asiakkaiden henkilötietojen välittämiseksi työntekijöilleen. Näin määrää tietosuojavaltuutettu keskiviikkona julkistetussa päätöksessään.
Firma lähetti WhatsAppin kautta työntekijöiden henkilökohtaisiin puhelimiin esimerkiksi asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot. Valtuutetun mielestä erityisesti osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse on ollut tiedoista, joiden päätymisestä sivulliselle voi aiheutua rekisteröidylle selkeää haittaa.
Käyttäessään WhatsApp-sovellusta asiakkaiden henkilötietojen käsittelyssä yritys ei ollut noudattanut velvoitteitaan huolehtia tietojen käsittelyn turvallisuudesta ja luottamuksellisuudesta tietosuoja-asetuksen mukaisesti.
Sen lisäksi, että yrityksen katsotaan rikkoneen EU:n yleistä tietosuoja-asetusta eli gdpr:ää, valtuutettu uskoo vahingon jo tapahtuneen siltä osin, että asiakkaiden henkilötietoja on päätynyt Yhdysvaltoihin.
Tietosuojavaltuutettu kiinnittää päätöksessään erityistä huomiota siihen, että WhatsApp-sovelluksen käyttö on todennäköisesti johtanut asiakkaiden henkilötietojen siirtoon EU:n alueelta kolmansiin maihin, kuten Yhdysvaltoihin.
WhatsApp on mielletty pitkään turvalliseksi pikaviestimeksi, sillä sen viestiliikenne on salattu päästä päähän. Tämä estää kolmansia osapuolia kaappaamasta viestejä matkan varrelta.
Hiljattain julkisuuteen tulleiden tietojen valossa Yhdysvaltain viranomaisilla on laaja ja melkein reaaliaikainen pääsy ihmisten WhatsApp-käyttötietoihin. Nämä voivat saada myös viestit käsiinsä pilvipalveluihin tehtyjen varmuuskopioiden kautta. Ainakaan vielä kaikilla suomalaiskäyttäjillä ei ole mahdollisuutta salata varmuuskopioita.
On myös epäilty, että WhatsApp sisältää takaovia urkintaa varten.
Lue lisää: Luulitko WhatsApp-viestien olevan yksityisiä? Näin niitä seurataan
Lue lisää: Kovia syytöksiä WhatsAppille: Sisältää takaovia urkintaa varten
Valtuutettu huomauttaa myös vaarasta puhelimen kadotessa. Tällöin puhelimeen pääsy mahdollistaa käytännössä myös WhatsAppiin pääsyn. Yritys ei myöskään ollut kertonut asiakkailleen WhatsAppin käytöstä henkilötietojen käsittelyssä.
Tietosuojavaltuutettu antoi yritykselle huomautuksen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä ja määräsi sen muuttamaan toimintatapansa tietosuojasäännösten mukaiseksi. Päätöksestä voi valittaa hallinto-oikeuteen.
Suomalaisten tietojen käsittely Yhdysvalloissa on ollut pinnalla viime aikoina. Äskettäin kiistaa syntyi siitä, että Digi- ja väestötietovirasto käsittelee muun muassa henkilötunnuksia, nimiä, osoitteita, sähköpostiosoitteita ja kansalaisuustietoja yhdysvaltalaisen Amazonin pilvialustalla. Virasto vakuuttaa, että tiedot ovat silti turvassa.
Lue lisää: Suomalaisten tiedot ovat amerikkalaisilla palvelimilla: "Merkittävää tiedustelutietoa"
Toinen tuore kiistakapula koski lasten pakottamista WhatsAppiin. Helsingin tuomiokirkkoseurakunnan nettilomake rippikouluun ilmoittautumiseksi edellytti, että huoltaja antaa luvan liittää lapsensa riparin WhatsApp-ryhmään. Tästä vaatimuksesta kuitenkin luovuttiin.
TetraSys Oy.