WhatsApp opět porušuje GDPR, irský úřad mu vyměřil pokutu 5,5 milionu eur

Zpět na blog

Irská komise pro ochranu osobních údajů (DPC) udělila společnosti WhatsApp Ireland pokutu ve výši 5,5 milionu eur (142,13 milionu Kč) poté, co potvrdila, že tato služba pro zasílání zpráv porušila obecné nařízení o ochraně osobních údajů (GDPR).

Úřad nařídil společnosti WhatsApp, aby do šesti měsíců uvedla své operace zpracování údajů do souladu s předpisy, jinak jí hrozí nová pokuta. Dne 25. května 2018 zahájil úřad DPC na základě stížnosti německého subjektu údajů vyšetřování možného porušení nařízení ze strany společnosti WhatsApp. Téhož dne společnost WhatsApp aktualizovala své podmínky poskytování služeb a vyzvala všechny uživatele v EU, aby změny přijali kliknutím na tlačítko pro další přístup k hlavnímu rozhraní aplikace.

Ignorování souhlasu uživatelů

Stížnost předložená DPC tvrdila, že společnost WhatsApp nutila uživatele k přijetí změn tím, že je podmiňovala dalším používáním softwaru. Uživatelé tedy museli souhlasit se zpracováním svých osobních údajů už jen proto, aby mohli aplikaci otevřít. Tím byl porušen článek 7 bod odst. 32 GDPR, který vyžaduje, aby byl souhlas uživatele udělen svobodně a na konkrétním, informovaném a jednoznačném základě, bez nátlaku, ovlivňování nebo prvků, které vnášejí do rozhodování subjektu údajů nerovnováhu. Na základě komplexního šetření dospěla Komise pro ochranu osobních údajů k následujícím závěrům:

– Společnost WhatsApp Ireland jasně neuvedla právní základ ani výslovné důvody pro požadované zpracování uživatelských údajů, čímž porušila články 12 a 13 GDPR.

– Společnost WhatsApp Ireland neporušila článek 7 z důvodu vynuceného souhlasu, protože se při poskytování své služby nespoléhala na souhlas uživatelů ani jej nepoužila jako zákonný základ pro zpracování osobních údajů uživatelů.

Za první bod však nebudou uloženy další sankce, protože DPC již společnosti WhatsApp ze stejných důvodů vysoké pokuty uložila. „DPC, která již společnosti WhatsApp Ireland uložila velmi vysokou pokutu ve výši 225 milionů eur za porušení této a dalších povinností v oblasti transparentnosti ve stejném období, nenavrhla uložení žádné další pokuty ani nápravných opatření, neboť tak učinila již v předchozím šetření,“uvádí se v odůvodnění rozhodnutí.

Pokud jde o druhý bod, zamítnutím obvinění německého subjektu údajů ze strany DPC případ nekončí, neboť stížnost nyní přezkoumá také německý dozorový úřad.

Pokuta ve výši 5,5 milionu eur společnosti WhatsApp Ireland byla uložena kvůli porušení článku 6 GDPR o „zákonnosti zpracování“, který vyžaduje transparentnost, zákonnost a spravedlnost procesů ochrany údajů. Kromě toho DPC zahájí nové vyšetřování, které se bude týkat všech operací zpracování ve službě WhatsApp, aby zjistila, zda nedochází k porušení článku 9 GDPR o „zpracování zvláštních kategorií osobních údajů“.

Úřad pro ochranu osobních údajů chce zjistit, zda společnost WhatsApp shromažďuje a zpracovává citlivé údaje pro účely behaviorální reklamy a marketingu a zda tyto údaje sdílí také s nějakými třetími stranami.

Společnost WhatsApp se chce proti rozhodnutí odvolat, protože se domnívá, že její služba funguje v souladu s právními předpisy.

Zdroj: BleepingComputer.com

1. 2. 2023