Finland: Städföretags användning av WhatsApp för kommunikation med anställda är olaglig

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) konstaterar att ett städföretag brutit mot artiklarna 5.1 (f), 24, 25 och 32 i dataskyddsförordningen (GDPR) till följd av att företaget behandlat kunders personuppgifter utan att vidta tillräckliga säkerhetsåtgärder.

Av beslutet framgår att företaget skickat kunders personuppgifter, inklusive telefonnummer, namn, adresser, dörrkod och nyckelboxnummer, till anställdas personliga telefoner via tjänsten för snabbmeddelanden WhatsApp LLC. Därutöver har företaget underlåtit att informera sina kunder om användningen av WhatsApp vid behandlingen av deras personuppgifter.

Enligt Dataombudsmannens byrå innebar företagets användning av WhatsApp att det fanns ett avtalsförhållande mellan individen, genom användning av dennes personliga telefon, och WhatsApp:s moderbolag, Facebook Inc. vilket gjorde att den personuppgiftsansvarige inte hade några möjligheter att kontrollera användningen av personuppgifter i en sådan tjänst. I detta avseende ansåg Dataombudsmannens byrå att företaget hade underlåtit att följa:

  • Principerna om integritet och konfidentialitet i artikel 5.1 (f) GDPR,
  • Skyldigheten att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda de berörda personuppgifterna enligt artiklarna 24 och 32 GDPR, och
  • Skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder genom inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR.

Vidare konstaterade Dataombudsmannens byrå att användningen av WhatsApp sannolikt har lett till att kundernas personuppgifter överförs från EU till tredjeländer som USA, vilket inte kan ske om företaget inte vidtagit tillräckliga ytterligare åtgärder för att säkerställa skyddet av personuppgifter enligt EU-domstolens beslut (C-311/18) i det så kallade Schrems II-målet.

Slutligen drog Dataombudsmannens byrå slutsatsen att företagets verksamhet, när det gäller användningen av Whatsapp för att behandla kundernas personuppgifter, skett i strid med bestämmelserna om säkerhet i GDPR, och noterade att när det gäller eventuella överföringar av personuppgifter till tredjeländer kommer myndigheten inte att utöva sina befogenheter i detta avseende eftersom undersökningen genomfördes innan EU:s riktlinjer för överföring av uppgifter och överföringsmekanismer uppdaterades i enlighet med Schrems II-målet.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 5 GDPR, art. 24 GDPR, art. 25 GDPR, art. 32 GDPR

Sanktionsavgift: 52 000 euro

Mottagare: N/A

Beslutsnummer: 9024/181/19

Beslutsdatum: 2021-10-29

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.