Tietosuojavaltuutetun WhatsApp-päätöksen merkitys käytännössä

15Jou21

Tietosuojavaltuutettu (TSV) julkaisi 8.12.2021 päätöksensä antaa siivousyritykselle huomautuksen asiakkaiden henkilötietojen välittämisestä työntekijöiden henkilökohtaisiin puhelimiin WhatsAppilla.

Kiireisimmät ehtivät jo tulkita päätöstä niin, ettei WhatsAppia enää voisi käyttää lainkaan yrityksissä. Toiset taas ehdottivat tilalle Signalia tai jotain muuta turvallisemmaksi miellettyä pikaviestisovellusta. Kumpikaan näistä johtopäätöksistä ei kuitenkaan pidä yhtä TSV:n päätöksen kanssa.

Mitä tietosuojavaltuuten päätös koski?

Päätös koski siivousalan yritystä. Yrityksen asiakkaat antavat seuraavia tietoja tilatessaan siltä siivouspalveluja:

• Nimi
• Osoite
• Puhelinnumero
• Ovikoodi tai avainboksin numero

Rekisterinpitäjän näkökulmasta kyse on henkilötiedoista, joita sen tulee EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti suojata. Rekisterinpitäjän velvollisuudet käydään tämän osalta läpi TSV:n päätöksen (PDF) ”sovellettava lainsäädäntö” -osassa. Keskeinen periaate on riskiperusteisuus ja riskiarvion perusteella tehtävät organisatoriset ja tekniset suojatoimet, joilla estetään varsinkin henkilötietojen päätyminen ulkopuolisille.

TSV toteaa päätöksessään:

”Erityisesti osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse on ollut tiedoista, joiden päätymisestä sivulliselle voi aiheutua rekisteröidylle selkeää haittaa.”

Avaan lähemmin, millainen riski edellä mainittuihin henkilötietoihin liittyy:

• Nimi: tunnistetieto, ei erityisen arkaluontoinen tieto, riskinä on lähinnä nimen paljastuminen. Nimen avulla voidaan hakea lisätietoa esimerkiksi henkilön taloudellisesta asemasta.
• Osoite: riski voi olla tavanomainen tai suuri, jos henkilöllä on syytä pelätä turvallisuutensa vuoksi. Riski liittyy nimenomaan yksityishenkilön kotiosoitteen paljastumiseen. Julkisissa rekistereissä on tätä varten käytössä turvakielto. Mahdollista turvakieltoa yritys-rekisterinpitäjä ei yleensä tiedä, mutta riskiarviossa on otettava huomioon mahdollisesti henkilölle koituvan riskin suuruus ja todennäköisyys.
• Puhelinnumero: riski voi olla tavanomainen tai suuri, ks. edellä.
• Ovikoodi tai avainboksin numero: riski on ilmeisen suuri, jos näillä tiedoilla on ulkopuolisen mahdollista päästä yksityishenkilön kotiin.
• Lisäksi on mainittava tieto siivouspalvelujen käytöstä. Sitä en pidä erityisen arkaluontoisena tai muuten riskipitoisena tietona, mutta suhtautuminen sen paljastumiseen riippunee henkilöstä.

Oleellista tapauksessa on, että kyse on henkilötiedoista, joihin voi liittyä suuri riski niiden päätyessä ulkopuolisten saataville.

Tilatessaan yritykseltä siivouksen asiakas ei voi odottaa, että hänen luottamuksellisesti antamansa tiedot päätyisivät millekään muulle taholle kuin siivousyritykselle ja niille sen työntekijöille, joille se on tarpeen siivousta varten.

Tässä tapauksessa henkilötietoja oli lähetetty yrityksen toimesta WhatsApp-viesteillä sen työntekijöille. TSV:n päätöksen perusteella käytössä on ollut niin yrityksen kuin työntekijöiden osalta WhatsAppin normaali kuluttajaversio, eikä yrityksille tarkoitettu WhatsApp Business.

Rekisterinpitäjän velvollisuus on tehdä riskejä vastaavat suojatoimet. Suojatoimet voivat olla ”organisatorisia” eli toiminnan järjestämiseen liittyviä (vastuut, salassapitovelvollisuudet, ohjeistukset, valvonta, sopimukset jne.) tai ”teknisiä” (esim. salaus ja käyttäjäkohtaiset oikeudet). Oleellista on, että ne on tehty riskiarvion mukaisesti siten, ettei henkilötietoihin kohdistuvaa riskiä suojatoimien jälkeen enää voida pitää korkeana.

Tässä tapauksessa TSV arvioi suojatoimet riittämättömiksi mm. seuraavilla perusteilla:

• Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WhatsAppissa, tai asettaa muutoinkaan käytölle rajoituksia.
• Esimerkiksi puhelimen kadotessa WhatsApp-viestit voivat päätyä ulkopuolisten luettavaksi.
• WhatsAppin käyttö perustuu yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esim. vastuukysymyksissä.
• Rekisterinpitäjä ei ole varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä esimerkiksi työsuhteen päättyessä poistettu, tai onko työntekijän varmuuskopiosta poistettu yritystä koskeva osio.
• Tietosuojavaltuutettu on katsonut aiemmassa, terveydenhuollon toimintaa koskevassa kannanotossaan (dnro 3013/183/18), että WhatsApp-sovelluksen käyttö johtaa asiakkaan henkilötietojen tietojen siirtoon kolmansiin maihin.
• Aiemmassa ratkaisukäytännössään tietosuojavaltuutettu on lisäksi katsonut, ettei työntekijöitä tulisi tietoturvasyistä velvoittaa omien välineidensä käyttöön (dnro 2290/41/12; kyse oli työntekijän henkilökohtaisten pankkitunnusten käytöstä työtehtäviin).

Lisäksi TSV huomioi, että rekisterinpitäjä ei ollut informoinut asiakkaita WhatsApp-sovelluksen käytöstä. Se oli kuitenkin tässä tapauksessa sivuseikka, koska virhe tapahtui jo rekisterinpitäjän ensimmäisessä velvollisuudessa eli riskiarvion teossa ja sitä vastaavien turvatoimien käytössä. Informoinnin puutteellisuus on usein oire siitä, että henkilötietojen käsittely ei ole siten kunnossa, että se kestäisi GDPR:n edellyttämän läpinäkyvyyden.

TSV:n päätöksen oikeudellinen ydin GDPR:n mukaisten rekisterinpitäjän velvollisuuksien laiminlyönnin osalta on seuraavassa:

Edellä todetun perusteella tietosuojavaltuutettu katsoo, ettei WhatsApp-sovelluksen käyttö asiakastietojen välittämisessä yritykseltä työntekijän henkilökohtaiseen puhelimeen ole vastannut eheyden ja luottamuksellisuuden periaatteeseen, sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen ja käsittelyn turvallisuuteen liittyviä vaatimuksia, eikä rekisterinpitäjä ole huomioinut, että sen tulee asetuksen riskiperusteisen lähestymistavan mukaisesti toteuttaa riskejä vastaavat tekniset ja organisatoriset toimenpiteet henkilötietojen riittävän suojaamisen varmistamiseksi.

Viittauksen eheyden ja luottamuksellisuuden periaatteeseen tulkitsen liittyvän nimenomaan siihen, että asiakkaiden riskipitoisia henkilötietoja päätyi työntekijöiden omille laitteille ilman, että rekisterinpitäjä olisi pyrkinyt huolehtimaan niiden turvallisuudesta siitä eteenpäin millään tavalla – edes työsuhteen päättyessä.

TSV:n päätökseen sisältyi luonnollisesti huomautuksen ohella käsky laittaa henkilötietojen käsittelyn turvallisuus kuntoon.

Jäin pohtimaan, oliko yrityksessä edes TSV:n selvityspyynnön saapuessa ymmärretty, mitkä sen velvollisuudet ovat. GDPR:ään perehtymättömälle TSV:n päätöstekstikin on vaikeaselkoista. Sama pätee TSV:n laatimaan lyhyeen tiedotteeseen, jolta olisin toivonut käytännönläheisempää viestiä rekisterinpitäjille. Siksi siirrytään seuraavaan kysymykseen.

Mikä on WhatsApp-päätöksen käytännön merkitys?

Tietosuojavaltuuten päätöksen ydin on tässä:

• Rekisterinpitäjä ei saa jättää riskiarviota ja sen mukaisia suojatoimia tekemättä.
• Tärkein velvollisuus on huolehtia, että henkilötiedot pysyvät rekisterinpitäjän hallussa ja valvonnassa – joko konkreettisesti tai sopimuksilla varmistettuna silloin, kun käytetään ulkopuolisia palveluntarjoajia (=GDPR:n termein henkilötietojen käsittelijöitä).

Mitä tämä sitten tarkoittaa WhatsAppin käytön osalta?

Älä lähetä työhön liittyviä rekisteröityjen henkilötietoja WhatsAppin kautta!

Saman voi laajentaa kaikkiin muihinkin yksityishenkilöille tarkoitettuihin pikaviestipalveluihin, koska ne eivät ole rekisterinpitäjän hallinnassa ja kontrolloitavissa. Rekisterinpitäjää ei olisi tässä tapauksessa ”pelastanut” esimerkiksi Signalin käyttö.

(Yksityishenkilöiden välistä viestintää tämä ei koske, koska GDPR:ää ei sovelleta henkilötietojen käsittelyyn, joka liittyy yksinomaan henkilökohtaiseen tai omaa kotitaloutta koskevaan toimintaan.)

Älä poikkea tästä ohjeesta ilman, että tiedät saavasi tehdä niin rekisterinpitäjän päätöksellä. Siitä lisää seuraavassa.

Voiko WhatsAppia käyttää enää lainkaan työasioihin?

On hyvä muistaa, että WhatsAppia käytetään työelämässä laajasti. Siksi tietosuojavaltuutetun päätös on merkittävä ja se pakottaa monet organisaatiot tarkastelemaan kriittisesti WhatsAppin käyttöä jatkossa. Jo ennen tätä WhatsAppin käyttö organisaatioissa on ollut vakituinen kysymysten ja keskustelujen aihe pitämissäni tietosuojakoulutuksissa.

Seuraava kuva on North Patrolin Intranet ja digitaalinen työympäristö 2020 -selvityksestä:

WhatsApp oli vuonna 2020 kuudenneksi käytetyin vuorovaikutus- tai tiedonjakoväline vastaajayritysten keskuudessa. Kyselyyn vastasi 111 organisaatiota, joista yli puolet oli kunnallisia tai julkisia organisaatioita. Vastaajista 37 % kertoi käyttävänsä WhatsAppia. Useimmin WhatsAppia käytettiin vertaistukeen tai sisäiseen kommunikaatioon (15 %).

Yrityksen sisäisestä kommunikoinnista oli kyse myös tietosuojavaltuutetun edellä läpikäydyssä päätöksessä. Huomionarvoista on, että TSV ei kieltänyt WhatsAppin käyttöä työssä sinänsä, vaan riskipitoisten henkilötietojen välittämisen sen kautta.

WhatsAppin käyttö työsssä riippuu ennen muuta työnantajan tekemästä linjauksesta. Ennen WhatsAppin käyttöä työasioissa tulee aina tarkistaa työnantajan antamat ohjeistukset.

Tietosuojavaltuutettu ei kieltänyt WhatsAppin käyttöä myöskään viestintään asiakkaiden kanssa tai WhatsApp-ryhmien ylläpitoa rekisterinpitäjän toimesta kaikissa tapauksissa. Kummassakin näistä tilanteissa rekisterinpitäjän tulee kuitenkin huolehtia niistä velvollisuuksista, joiden laiminlyönnistä siivousyritys sai em. tapauksessa huomautuksen.

Tietosuojavaltuutettu kiinnitti huomiota siihen, että WhatsAppia ei tulisi käyttää viestinnässä, joka liittyy GDPR:n mainitsemiin erityisiin henkilötietoihin kuten terveystietoihin. Suora lainaus: ”Erityisesti terveydenhuollon osalta voidaan myös todeta, että tieto viestinnästä (ns. metatieto) on sovelluksessa vapaasti hyödynnettävää tietoa, joka paljastaa esimerkiksi arkaluonteiseksi tiedoksi luokiteltavan asiointisuhteen terveydenhuollon kanssa.”

Mitä rekisterinpitäjän tulee huomioida, jos se käyttää WhatsAppia viestintään asiakkaiden kanssa?

Käytännössä WhatsAppia ei voi käyttää viestintään ilman, että sen yhteydessä käsitellään rekisteröityjen henkilötietoja, sillä jo WhatsApp-tunnuksiin liittyvät puhelinnumerot ja nimet ovat henkilötietoja.

Rekisterinpitäjän tulisi huolehtia mm. seuraavista asioista WhatsAppin käyttöä harkitessa:

• Kuvaus suunnitellusta henkilötietojen käsittelystä (tarkoitus, käsiteltävät tiedot jne.)
• WhatsApp Business -sovelluksen käyttö kuluttaja-WhatsAppin sijasta silloin, kun kyse on rekisterinpitäjän toiminnasta. WhatsApp Businessiin sisältyy valmis sopimus henkilötietojen käsittelystä, joka tulee arvioida ennen päätöstä sovelluksen käytöstä.
• Riskiarvio WhatsAppin käytöstä kyseiseen tarkoitukseen
• Tarvittaessa GDPR:n mukainen vaikutustenarviointi, mikäli riskit arvioidaan suuriksi. Vaikutustenarviointi tulee tehdä erityisesti mm. käytettäessä uutta teknologiaa tai sovellettaessa teknisiä ratkaisuja uudella tavalla.
• Riskejä vastaavien suojatoimien toteuttaminen (esim. ohjeistukset, työpuhelimen käyttö, valvonta/moderointi, tietojen poisto jne.)
• Siirtoperusteen päättäminen tietojen siirrolle EU:sta Yhdysvaltoihin (käytännössä joko henkilötietojen käsittelysopimuksen mukaisesti tai rekisteröityjen suostumus)
• Rekisteröityjen informointi henkilötietojen käsittelystä
• Tarvittaessa suostumusten pyyntö käsittelylle rekisteröidyiltä.

Vasta näiden vaiheiden jälkeen oltaisiin siinä tilanteessa, että rekisterinpitäjä voisi käyttää rekisteröityjen henkilötietoja WhatsApp-viestintään. On hyvä muistaa, että saman tyyppinen menettely pätee muihinkin viestintäsovelluksiin ja pilvipalveluihin, sillä rekisterinpitäjällä on samat velvollisuudet välineestä riippumatta.

Vaikka rekisterinpitäjä käyttäisi WhatsAppia vain siihen, että asiakkaat voivat ottaa WhatsAppilla oma-aloitteisesti yhteyttä organisaatioon ja sen työntekijöihin, kannattaa edellä kuvattu prosessi käydä läpi.

Asiakkaan ottaessa itse yhteyttä WhatsAppilla, hän antaa aktiivisella viestintäkanavan valinnallaan ja toiminnallaan suostumuksen WhatsAppin käyttöön kyseisessä yhteydenpidossa. Tämä kuitenkin edellyttää, että rekisterinpitäjä on ensin huolehtinut asianmukaisesti informointivelvollisuudestaan.

Mikäli WhatsAppia käytetään millään tavoin viestintään asiakkaiden kanssa, organisaation tietosuojaselosteessa tai muussa asiakkaiden henkilötietojen käsittelyn informoinnissa tulee huomioida mahdollisuus käyttää WhatsAppia. Tietosuojaseloste/informointidokumentti kannattaa laittaa julkisesti nettisivuille näkyville, sillä asiakkaiden tulee voida tutustua siihen ennen kuin he ottavat yhteyttä WhatsAppilla ja antavat siten henkilötietojaan rekisterinpitäjän käsittelyyn sen yhteydessä.

Filed under: henkilötiedot, laki, pikaviestipalvelut, sosiaalinen media, sovellukset ja appsit, tietosuoja-asetus (GDPR), tietoturva, tietovuoto, viestintä, WhatsApp, WhatsApp Business, yritykset   |  Leave a Comment