На WhatsApp е наложена глоба в размер на 5,5 милиона евро, тъй като КЗД ограничава обхвата на делото срещу WhatsApp и отхвърля искането на ЕНОЗД да разследва въпроси като споделянето на данни в рамките на Meta.
Както бе потвърдено от ирландския DPC днес, Европейският комитет по защита на данните (EDPB) реши, че Meta не може да принуждава потребителите на WhatsApp да се съгласяват с използването на техните данни за "подобряване на услугата" и "сигурност". Основният въпрос за използването на данни за "целите на поведенческата реклама, за маркетингови цели, както и за предоставяне на метрики на трети страни и обмен на данни със свързани дружества " не бяха разгледани от ирландския ДКД - въпреки задължителното решение на ЕНОЗД, че тези въпроси трябва да бъдат разследвани. Решението идва 4,5 години след подаването на първоначалните жалби от страна на noyb, относно заобикалянето на GDPR от страна на Meta чрез клауза в общите условия.
- Обяснителен видеоклип за заобикалянето на GDPR от страна на Meta (от декември 2022 г.)
- Блогпост за решенията относно Facebook и Instagram
- Оригинални жалби от noyb от 2018 г
- Окончателно решение на КЗД (PDF)
Ключови факти:
- На 25 май 2018 г. noyb подаде три жалби срещу Facebook, Instagram и WhatsApp въз основа на принудително съгласие.
- Две жалби, подадени срещу Facebook и Instragram от името на австрийски и белгийски потребител, бяха решени през първата седмица на януари, което доведе до обща глоба от 390 млн. евро.
- Третото решение относно WhatsApp от името на германски потребител беше публикувано днес.
- Meta се е опитала да "заобиколи" изискването за съгласие в GDPR, като е добавила клауза към общите условия за реклама.
- През декември 2022 г. ЕНОЗД отмени предишно проекторешение на ирландския ДПК, в което се застъпваше становището, че заобикалянето на GDPR от Meta е законно, и ЕНОЗД поиска промени в решението относно WhatsApp, както и допълнителни разследвания на основните нарушения на WhatsApp.
- Сега ДПК адаптира ограниченото си решение, но отказва да разследва други въпроси, както е разпоредено от EDPB. DPC заплашва да заведе съдебно дело срещу европейските си партньори.
- Решението вероятно изисква от WhatsApp да въведе "opt-in" за използването на лични данни за "подобряване на продукта", докато използването на лични данни за сигурност до голяма степен може да бъде прехвърлено на друго правно основание.
Мета искаше да "заобиколи" GDPR. ОРЗД допуска шест правни основания за обработване на данни, едно от които е съгласието съгласно член 6, параграф 1, буква а). Meta се опита да заобиколи изискването за съгласие за проследяване и онлайн рекламиране с аргумента, че рекламите са част от "услугата", която тя дължи по договор на потребителите. Предполагаемата смяна на правното основание се е случила точно на 25 май 2018 г. в полунощ, когато GDPR влезе в сила. Така наречената "договорна необходимост" по член 6, параграф 1, буква б) обикновено се разбира тясно и би позволила например на онлайн магазин да препрати адреса на пощенска служба, тъй като това е строго необходимо за доставката на поръчката. Meta обаче е на мнение, че може да добави случайни елементи към договора (например персонализирана реклама), за да избегне възможността за даване на съгласие с "да/не" от страна на своите потребители.
DPC ограничава делото до "сигурност" и "подобряване на услугите ". КЗД вече ограничи продължилата 4,5 години процедура до незначителните въпроси за правното основание за използване на данни за целите на сигурността и за подобряване на услугите. По този начин КЗД пренебрегва важните въпроси, свързани със споделянето на данни от WhatsApp с други дружества на Meta (Facebook и Instagram) за рекламни и други цели. Въпреки че потребителите трябва да бъдат питани за използването на техните данни за подобряване на продуктите чрез опция за избор, изглежда ясно, че използването на данни за сигурност остава законно съгласно ОРЗД, дори ако това вече не е включено в договор.
Макс Шремс:"Учудени сме как КЗД просто игнорира същността на делото след 4,5-годишна процедура. DPC също така ясно игнорира задължителното решение на EDPB. Изглежда, че DPC окончателно прекъсва всички връзки с партньорските органи от ЕС и с изискванията на правото на ЕС и Ирландия."
"Метаданните" на WhatsApp се използват допълнително за персонализирани реклами? Въпреки че WhatsApp не предоставя персонализирани реклами, той предоставя така наречените "метаданни" на Facebook и Instagram, които на свой ред се използват за персонализирани реклами в двете социални медийни платформи. Тези метаданни разкриват много информация за комуникационното поведение на потребителите: кой с кого и кога комуникира, кой кога, колко дълго и колко често използва приложението. Макар че самата комуникация е криптирана, се събират телефонните номера и свързаните с тях акаунти във Facebook или Instagram на хората. След това тази информация може да се използва за персонализиране на рекламите за потребителите в други платформи на Meta като Facebook и Instagram. Изглежда, че КЗД е отказала да разследва този основен въпрос от жалбите.
Макс Шремс: "WhatsApp твърди, че е криптиран, но това е вярно само за съдържанието на чатовете - не и за метаданните. WhatsApp все още знае с кого си чатите най-често и по кое време. Това позволява на Meta да получи много близка представа за социалната структура около вас. Meta използва тази информация, за да насочва например реклами, от които приятелите вече са се интересували. Изглежда, че сега КЗД просто е отказала да вземе решение по този въпрос, въпреки 4,5-годишните разследвания."
DPC и Meta си сътрудничиха и получиха решение, отменено от EDPB. В хода на процедурата Meta се е позовала на десет поверителни срещи с ирландския DPC, на които DPC е позволил на Meta да използва този "байпас". По-късно стана ясно, че DPC дори се е опитал да повлияе на съответните насоки на EDPB в интерес на Meta. Въпреки това другите европейски ДЗД отхвърлиха становището на DPC вътрешно през 2018 г., в Насоките през 2019 г. и отново в окончателното решение на EDPB през декември 2022 г. Делото ескалира до 4,5 години със стотици страници доклади и становища, въпреки че делото се отнасяше до един доста прост правен въпрос.
Макс Шремс:"Това дело е за един прост правен въпрос. Мета твърди, че "байпасът" е станал с благословията на ДПК. Години наред ДКП протакаше процедурата и настояваше, че Meta може да заобиколи ОРЗД, но сега беше отхвърлена от другите органи на ЕС. Като цяло това е четвъртият пореден път, в който ирландският DPC е отхвърлен."
