Irlandzki organ nadzoru w porozumieniu z Europejską Radą Ochrony Danych Osobowych, nałożył na WhatsApp karę w wysokości 225 mln euro za naruszenie przepisów w zakresie ochrony danych osobowych. Jest to jedna z najwyższych kar nałożonych na podstawie RODO. Co ciekawe jest ona prawie pięciokrotnie wyższa niż pierwotna propozycja organu irlandzkiego, który w styczniu mówił o przedziale 30 do 50 mln euro.
Brak przejrzystości
Irlandzka Komisja Ochrony Danych, orzekła że WhatsApp w nieprawidłowy sposób informował użytkowników z Unii Europejskiej o tym, w jaki sposób zbiera i przetwarza ich dane osobowe. Tym samym według organu nadzoru WhatsApp naruszył zasady wynikające z art. 12, 13 i 14 RODO.
W szczególności wskazano na to, że przeciętny użytkownik aplikacji nie jest należycie poinformowany na czym polegają prawnie uzasadnione interesy dostawcy usługi w przetwarzaniu danych osobowych. Ponadto Europejska Rada Ochrony Danych Osobowych stwierdziła, że w przypadku naruszenia jakiego dopuścił się WhatsApp doszło także do naruszenia art. 5 ust. 1 lit. a RODO, czyli zasady przejrzystości w przetwarzaniu danych osobowych.
Kilkuletnie postępowanie
Postępowanie w sprawie WhatsApp rozpoczęto w 2018 roku. Objęło ono swym zakresem „zarządzania danymi pomiędzy samą aplikacją a innymi podmiotami Facebooka”. Irlandzki urząd poinformował, że dopatrzył się „bardzo poważnych naruszeń” dotyczących przejrzystości działań aplikacji oraz „istotnych braków w informowaniu” użytkowników na temat korzystania z ich danych osobowych.
W kwestii gromadzenia przez WhatsApp danych osób niebędących użytkownikami w sytuacji gdy użytkownicy zdecydują się skorzystać z funkcji Contact Europejska Rada Ochrony Danych stwierdziła, zastosowane procedury nie prowadzą do anonimizacji zgromadzonych danych osobowych.
Na wysokość kary wpłynęło również to, że WhastApp nie wskazał w swym regulaminie jakie dane i w jakich sytuacjach dane osobowe użytkowników się udostępniane innym aplikacjom i innym podmiotom, które należą do grupy kapitałowej właściciela WhatsApp czyli Facebooka.
Rola EROD
Ponadto EROD po raz pierwszy przedstawiła wyjaśnienia dotyczące interpretacji art. 83 ust. 3 RODO. Zgodnie z argumentacją EROD w przypadku wielokrotnych naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania, przy obliczaniu kwoty grzywny należy uwzględnić wszystkie naruszenia, które w danym stanie faktycznym miały miejsce.
Pierwotny projekt kary irlandzkiego organu nadzoru zawierał ponadto nakaz doprowadzenia operacji przetwarzania do zgodności w terminie 6 miesięcy. EROD uznała, jednak że zapewnienie zgodności z wymogami przejrzystości w możliwie najkrótszym czasie ma pierwszorzędne znaczenie. W związku z tym zwrócono się irlandzkiego organu nadzoru o zmianę sześciomiesięcznego terminu na trzymiesięczny.
Przedstawiciele WhatsApp w wydanym publicznie oświadczeniu stwierdzili jednak, że „nałożona kara jest całkowicie nieproporcjonalna” oraz zapowiedzieli złożenie odwołania.
Źródła:
- https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_en
- https://www.reuters.com/technology/irish-data-privacy-watchdog-fines-whatsapp-225-mln-euros-2021-09-02
