Irska komisija za zaštitu podataka (DPC) kaznila je WhatsApp sa 5,5 miliona eura (5,9 miliona dolara) zbog kršenja GDPR-a.
Pored novčane kazne, WhatsApp Ireland je dobio nalog da uskladi svoje operacije obrade podataka u roku od šest mjeseci.
Slučaj je pokazao značajna neslaganja između evropskih tijela za zaštitu podataka o obimu odgovornosti WhatsApp-a.
Kazna se odnosi na ažuriranje Uslova korištenja usluge WhatsApp-a 25. maja 2018. godine, na datum kada je GDPR EU stupio na snagu. Ono je obavijestilo postojeće i nove korisnike da, ako žele i dalje imati pristup uslugama WhatsApp-a i nakon uvođenja novih propisa, moraju kliknuti na “Slažem se i nastavi” kako bi naznačili da prihvataju ažurirane Uslove korištenja.
WhatsApp Ireland je smatrao da prihvatanje novih Uslova korišćenja usluge predstavlja ugovor, te da je obrada podataka korisnika uz isporuku njegove usluge neophodna za izvršenje tog ugovora. Ovo je uključivalo odredbe o poboljšanju usluga i sigurnosnim karakteristikama, operacijama koje se smatraju zakonitim prema članu 6(1)(b) GDPR-a.
Međutim, aktivista za zaštitu privatnosti Max Schrems tvrdio je da je WhatsApp primorao korisnike da pristanu na obradu njihovih podataka tako što je pristup svojim uslugama uslovio prihvatanjem ažuriranih Uslova korištenja.
Nakon istrage, irski DPC je zaključio da je WhatsApp prekršio svoje obaveze transparentnosti GDPR-a, jer korisnici nisu imali „dovoljnu jasnoću o tome koje se operacije obrade njihovih ličnih podataka provode“.
Izrekao je „veoma značajnu“ kaznu od 225 miliona evra (266 miliona dolara) kompaniji za kršenje ove i drugih obaveza transparentnosti u istom vremenskom periodu.
DPC se nije složio sa aspektom pritužbi „prinudnog pristanka“, utvrdivši da WhatsApp Ireland nije bio dužan da se oslanja na pristanak korisnika kao zakonsku osnovu za obradu njihovih ličnih podataka.
Vlast je tada zaključila da GDPR ne isključuje oslanjanje WhatsApp-a na tvrdnju da prihvatanje novih Uslova pružanja usluge predstavlja ugovor. To je zato što se smatra da je WhatsApp zasnovan na pružanju usluge koja uključuje poboljšanje usluge i sigurnost.
Međutim, 6 od 47 nadležnih nadzornih tijela (CSA) kojima je irski DPC dostavio svoj nacrt odluke u skladu sa GDPR-om, nije se složilo s ovim aspektom presude.
Kako se nije mogao postići konsenzus, DPC je sporne stvari uputio Evropskom odboru za zaštitu podataka (EDPB), koji se nije složio sa DPC-om po pitanju ugovora kao pravnog osnova. To je dovelo do administrativne kazne od 5,5 miliona eura za WhatsApp.
U svom saopštenju, DPC je otkrio svoje prigovore na odvojeno naređenje EDPB-a da izvrši novu reviziju prakse obrade podataka WhatsApp Ireland, uključujući posebne kategorije ličnih podataka.
DPC je tvrdio da je ova odluka izvan ovlašćenja EDPB-a, i da “nije primjerno za EDPB da daje instrukcije i usmjerava organ da se uključi u otvorenu i špekulativnu istragu”.
Predloženo je da se pokrene tužba pred Sudom pravde Evropske unije kako bi se “tražilo poništavanje smjernica EDPB-a”.
Odluka je posljednja u nizu teških kazni koje je izdao irski DPC protiv WhatsApp-ove matične kompanije Meta. To uključuje kaznu od 405 miliona evra (402,2 miliona dolara) za rukovanje dječijim podacima od strane Instagrama u septembru 2022. godine i kaznu od 265 miliona evra (275 miliona dolara) u novembru 2022. godine u vezi sa propuštanjem zaštite ličnih podataka 533 miliona korisnika Facebook-a koji su procurili u aprilu. 2021. godine.
U januaru 2023. godine, Meta je najavila da će uložiti žalbu na kaznu od 390 miliona evra (413 miliona dolara) izrečenu u vezi sa izborom pravnog osnova giganta društvenih medija, na koji se oslanjao za obradu ličnih podataka korisnika.
Izvor: Infosecurity Magazine