Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) konstaterar att ett städföretag brutit mot artiklarna 5.1 (f), 24, 25 och 32 i dataskyddsförordningen (GDPR) till följd av att företaget behandlat kunders personuppgifter utan att vidta tillräckliga säkerhetsåtgärder.
Av beslutet framgår att företaget skickat kunders personuppgifter, inklusive telefonnummer, namn, adresser, dörrkod och nyckelboxnummer, till anställdas personliga telefoner via tjänsten för snabbmeddelanden WhatsApp LLC. Därutöver har företaget underlåtit att informera sina kunder om användningen av WhatsApp vid behandlingen av deras personuppgifter.
Enligt Dataombudsmannens byrå innebar företagets användning av WhatsApp att det fanns ett avtalsförhållande mellan individen, genom användning av dennes personliga telefon, och WhatsApp:s moderbolag, Facebook Inc. vilket gjorde att den personuppgiftsansvarige inte hade några möjligheter att kontrollera användningen av personuppgifter i en sådan tjänst. I detta avseende ansåg Dataombudsmannens byrå att företaget hade underlåtit att följa:
- Principerna om integritet och konfidentialitet i artikel 5.1 (f) GDPR,
- Skyldigheten att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda de berörda personuppgifterna enligt artiklarna 24 och 32 GDPR, och
- Skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder genom inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR.
Vidare konstaterade Dataombudsmannens byrå att användningen av WhatsApp sannolikt har lett till att kundernas personuppgifter överförs från EU till tredjeländer som USA, vilket inte kan ske om företaget inte vidtagit tillräckliga ytterligare åtgärder för att säkerställa skyddet av personuppgifter enligt EU-domstolens beslut (C-311/18) i det så kallade Schrems II-målet.
Slutligen drog Dataombudsmannens byrå slutsatsen att företagets verksamhet, när det gäller användningen av Whatsapp för att behandla kundernas personuppgifter, skett i strid med bestämmelserna om säkerhet i GDPR, och noterade att när det gäller eventuella överföringar av personuppgifter till tredjeländer kommer myndigheten inte att utöva sina befogenheter i detta avseende eftersom undersökningen genomfördes innan EU:s riktlinjer för överföring av uppgifter och överföringsmekanismer uppdaterades i enlighet med Schrems II-målet.