Společnost WhatsApp čelí pokutě 5,5 milionu eur, protože Komise pro ochranu osobních údajů omezila rozsah případu proti WhatsApp a zamítla žádost EDPB o prošetření záležitostí, jako je sdílení dat v rámci společnosti Meta.
Jak dnes potvrdila irská DPC, Evropský sbor pro ochranu osobních údajů (EDPB) rozhodl, že společnost Meta nemůže nutit uživatele aplikace WhatsApp, aby souhlasili s používáním svých údajů pro "zlepšení služeb" a "zabezpečení". Zásadní otázkou je používání údajů pro "účely behaviorální reklamy, pro marketingové účely, jakož i pro poskytování metrik třetím stranám a výměnu údajů s přidruženými společnostmi " se irská DPC nezabývala - navzdory závaznému rozhodnutí EDPB, že tyto záležitosti musí být prošetřeny. Rozhodnutí přichází 4,5 roku poté, co společnost noyb podala původní stížnosti na to, že společnost Meta obchází GDPR prostřednictvím doložky v obchodních podmínkách.
- Vysvětlující video k obcházení ze strany společnosti Meta (z prosince 2022)
- Blogpost o rozhodnutích na Facebooku a Instagramu
- Původní stížnosti společnosti noyb z roku 2018
- Konečné rozhodnutí DPC (PDF)
- Rozhodnutí EDPB (PDF)
Klíčová fakta:
- Dne 25. května 2018 podala společnost noyb tři stížnosti na Facebook, Instagram a WhatsApp na základě nuceného souhlasu.
- O dvou stížnostech podaných proti společnostem Facebook a Instragram jménem rakouského a belgického uživatele bylo rozhodnuto v prvním lednovém týdnu, což vedlo k uložení souhrnné pokuty ve výši 390 milionů eur.
- Třetí rozhodnutí týkající se společnosti WhatsApp jménem německého uživatele bylo zveřejněno dnes.
- Společnost Meta se pokusila "obejít" požadavek na souhlas podle GDPR přidáním doložky do podmínek pro reklamu.
- V prosinci 2022 EDPB zrušil předchozí návrh rozhodnutí irského DPC, který zastával názor, že obcházení GDPR společností Meta bylo legální, a EDPB požadoval změny v rozhodnutí o společnosti WhatsApp, jakož i další vyšetřování základních porušení ze strany společnosti WhatsApp.
- DPC nyní upravila své omezené rozhodnutí, ale odmítá vyšetřovat další záležitosti, jak nařídil EDPB. DPC hrozí, že podá žalobu na své evropské partnery.
- Rozhodnutí pravděpodobně vyžaduje, aby společnost WhatsApp zavedla "opt-in" pro používání osobních údajů pro "zlepšování produktů", zatímco používání osobních údajů pro zabezpečení by mohlo být z velké části přesunuto na jiný právní základ.
Meta chtěla "obejít" GDPR. GDPR umožňuje šest právních základů pro zpracování údajů, přičemž jedním z nich je souhlas podle čl. 6 odst. 1 písm. a). Společnost Meta se pokusila obejít požadavek na souhlas se sledováním a online reklamou argumentem, že reklamy jsou součástí "služby", kterou smluvně dluží uživatelům. K údajné změně právního základu došlo přesně o půlnoci 25. května 2018, kdy GDPR vstoupilo v platnost. Takzvaná "smluvní nezbytnost" podle čl. 6 odst. 1 písm. b) je obvykle chápána úzce a umožňovala by např. internetovému obchodu předat adresu poštovní službě, protože je to nezbytně nutné k doručení objednávky. Společnost Meta však zastávala názor, že může do smlouvy přidat náhodné prvky (např. personalizovanou reklamu), aby se vyhnula možnosti souhlasu ano/ne pro své uživatele.
DPC omezuje případ na "bezpečnost" a "zlepšení služeb". DPC nyní omezil 4,5 roku trvající řízení na drobné otázky právního základu pro použití údajů pro účely bezpečnosti a zlepšení služeb. DPC tak ignoruje zásadní otázky sdílení údajů WhatsApp s dalšími společnostmi Meta (Facebook a Instagram) pro reklamní i jiné účely. Ačkoli by uživatelé měli být požádáni o použití svých údajů pro zlepšování produktů prostřednictvím opt-in, zdá se být jasné, že použití údajů pro zabezpečení zůstává podle GDPR legální, i když již není zahrnuto ve smlouvě.
Max Schrems:"Udivuje nás, jak DPC po 4,5letém řízení jednoduše ignoruje jádro věci. DPC rovněž zjevně ignoruje závazné rozhodnutí EDPB. Zdá se, že DPC definitivně zpřetrhává všechny vazby na partnerské orgány EU a na požadavky právních předpisů EU a Irska."
"Metadata" WhatsApp dále využívána pro personalizované reklamy? WhatsApp sice neposkytuje personalizované reklamy, ale poskytuje Facebooku a Instagramu takzvaná "metadata", která se následně používají pro personalizovanou reklamu na těchto dvou platformách sociálních médií. Tato metadata odhalují spoustu informací o komunikačním chování uživatelů: kdo s kým a kdy komunikuje, kdo kdy, jak dlouho a jak často aplikaci používá. Zatímco samotná komunikace je šifrovaná, telefonní čísla a související účty lidí na Facebooku nebo Instagramu jsou shromažďovány. Tyto informace pak mohou být použity k personalizaci reklam pro uživatele na dalších platformách Meta, jako je Facebook a Instagram. Zdá se, že DPC odmítla tuto stěžejní záležitost stížností prošetřit.
Max Schrems: "WhatsApp tvrdí, že je šifrovaný, ale to platí pouze pro obsah chatů - nikoliv pro metadata. WhatsApp stále ví, s kým nejčastěji chatujete a v jakém čase. Díky tomu může Meta získat velmi blízký přehled o sociální struktuře kolem vás. Meta tyto informace využívá například k cílení reklam, které již přátele zaujaly. Zdá se, že DPC nyní jednoduše odmítla v této věci rozhodnout, a to navzdory 4,5 roku trvajícímu vyšetřování."
DPC a Meta spolupracovaly a nechaly se přehlasovat EDPB. V průběhu řízení se Meta opírala o deset důvěrných schůzek s irskou DPC, na kterých DPC povolila společnosti Meta tento "bypass" použít. Později vyšlo najevo, že se DPC dokonce snažilo ovlivnit příslušné pokyny EDPB v zájmu společnosti Meta. Nicméně ostatní evropské orgány pro ochranu údajů názor DPC interně odmítly v roce 2018, v Pokynech v roce 2019 a znovu v konečném rozhodnutí EDPB v prosinci 2022. Případ eskaloval na 4,5 roku se stovkami stran zpráv a podání, přestože se jednalo o poměrně jednoduchou právní otázku.
Max Schrems:"Tento případ se týká jednoduché právní otázky. Společnost Meta tvrdí, že k 'obchvatu' došlo s požehnáním DPC. DPC roky protahovalo řízení a trvalo na tom, že Meta může GDPR obejít, ale nyní bylo přehlasováno ostatními orgány EU. Celkově je to již počtvrté v řadě, co bylo irské DPC přehlasováno."
