A WhatsApp 5,5 millió eurós bírsággal néz szembe, mivel a DPC korlátozza a WhatsApp elleni ügy hatályát, és elutasítja az EDPB kérését, hogy olyan kérdéseket vizsgáljon, mint az adatmegosztás a Meta-n belül.
Amint azt az ír DPC ma megerősítette, az Európai Adatvédelmi Testület (EDPB) úgy döntött, hogy a Meta nem kényszerítheti a WhatsApp-felhasználókat arra, hogy hozzájáruljanak adataik "szolgáltatásfejlesztés" és "biztonság" céljából történő felhasználásához. Az adatfelhasználás lényege a "viselkedésalapú reklámozás céljából, marketing célokra, valamint mérőszámok harmadik felek számára történő szolgáltatására és a kapcsolt vállalkozásokkal történő adatcserére " nem foglalkozott az ír adatvédelmi hatóság - annak ellenére, hogy az EDPB kötelező érvényű határozata szerint ezeket az ügyeket ki kell vizsgálni. A döntés 4,5 évvel az eredeti panaszok benyújtása után született a noyb által, a Meta által a GDPR megkerülése miatt, az általános szerződési feltételek egyik záradékán keresztül.
- Magyarázó videó a Meta megkerüléséről (2022 decemberétől)
- Blogbejegyzés a Facebookon és az Instagramon hozott határozatokról
- A noyb eredeti panaszai 2018-ból
- A DPC végleges határozata (PDF)
- Az EDPB határozata (PDF)
Főbb tények:
- 2018. május 25-én a noyb három panaszt nyújtott be a Facebook, az Instagram és a WhatsApp ellen a kényszerített hozzájárulás miatt.
- A Facebook és az Instragram ellen egy osztrák és egy belga felhasználó nevében benyújtott két panaszról január első hetében született döntés, ami összesen 390 millió eurós bírságot eredményezett.
- A harmadik, egy német felhasználó nevében a WhatsAppra vonatkozó határozatot ma hozták nyilvánosságra.
- A Meta úgy próbálta "megkerülni" a GDPR-ban előírt hozzájárulási kötelezettséget, hogy a reklámozási feltételekhez egy záradékot csatolt.
- Az EDPB 2022 decemberében hatályon kívül helyezte az ír DPC korábbi határozattervezetét, amely úgy vélte, hogy a Meta által a GDPR megkerülése jogszerű volt, és az EDPB a WhatsAppra vonatkozó határozat módosítását, valamint a WhatsApp alapvető jogsértéseinek további vizsgálatát kérte.
- A DPC most kiigazította korlátozott határozatát, de az EDPB utasításának megfelelően megtagadja más ügyek kivizsgálását. A DPC perrel fenyegetőzik európai partnerei ellen.
- A határozat valószínűleg arra kötelezi a WhatsAppot, hogy a személyes adatok "termékfejlesztés" céljából történő felhasználására vonatkozó "opt-in"-t vezessen be, míg a személyes adatok biztonság érdekében történő felhasználása nagyrészt más jogalapra helyeződhet át.
A Meta a GDPR-t akarta "megkerülni". A GDPR hat jogalapot tesz lehetővé az adatok feldolgozására, amelyek közül az egyik a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás. A Meta azzal az érveléssel próbálta megkerülni a nyomon követésre és az online hirdetésekre vonatkozó hozzájárulási kötelezettséget, hogy a hirdetések a "szolgáltatás" részét képezik, amellyel szerződés szerint tartozik a felhasználóknak. A jogalap állítólagos váltása pontosan 2018. május 25-én éjfélkor történt, amikor a GDPR hatályba lépett. A 6. cikk (1) bekezdésének b) pontja szerinti úgynevezett "szerződéses szükségességet" általában szűken értelmezik, és például lehetővé tenné egy webáruház számára, hogy továbbítsa a címet egy postai szolgáltatónak, mivel ez feltétlenül szükséges a megrendelés kézbesítéséhez. A Meta azonban úgy vélte, hogy a szerződésbe tetszőleges elemeket (pl. személyre szabott reklámot) is beilleszthet, hogy elkerülje a felhasználók igen/nem beleegyezési lehetőségét.
A DPC az ügyet a "biztonságra" és a "szolgáltatások javítására" korlátozza. A DPC most a 4,5 éves eljárást a biztonsági célú és a szolgáltatásfejlesztés céljából történő adatfelhasználás jogalapjának kisebb jelentőségű kérdéseire korlátozta. A DPC ezáltal figyelmen kívül hagyja a WhatsApp-adatoknak a Meta más vállalataival (Facebook és Instagram) reklámozási és egyéb célokra történő megosztásának főbb kérdéseit. Bár a felhasználókat opt-in útján meg kell kérdezni az adataiknak a termékek javítására történő felhasználásáról, egyértelműnek tűnik, hogy az adatok biztonsági célú felhasználása a GDPR értelmében továbbra is jogszerű marad, még akkor is, ha ez már nem szerepel a szerződésben.
Max Schrems:"Megdöbbenve tapasztaljuk, hogy a DPC 4,5 éves eljárás után egyszerűen figyelmen kívül hagyja az ügy lényegét. A DPC egyértelműen figyelmen kívül hagyja az EDPB kötelező erejű határozatát is. Úgy tűnik, hogy a DPC végleg elszakít minden kapcsolatot az uniós partnerhatóságokkal és az uniós és ír jogszabályok követelményeivel."
WhatsApp "metaadatok" további felhasználása személyre szabott hirdetésekhez? Bár a WhatsApp nem nyújt személyre szabott hirdetéseket, úgynevezett "metaadatokat" szolgáltat a Facebook és az Instagram számára, amelyeket viszont személyre szabott hirdetésekhez használnak a két közösségi médiaplatformon. Ezek a metaadatok rengeteg információt árulnak el a felhasználók kommunikációs viselkedéséről: ki kivel és mikor kommunikál, ki mikor, mennyi ideig és milyen gyakran használja az alkalmazást. Míg maga a kommunikáció titkosítva van, az emberek telefonszámai és a hozzájuk kapcsolódó Facebook- vagy Instagram-fiókok összegyűjtésre kerülnek. Ezek az információk aztán felhasználhatók arra, hogy a felhasználók számára személyre szabott hirdetéseket készítsenek más Meta platformokon, például a Facebookon és az Instagramon. Úgy tűnik, a DPC elutasította a panaszok e központi kérdésének kivizsgálását.
Max Schrems: "A WhatsApp azt mondja, hogy titkosított, de ez csak a beszélgetések tartalmára igaz - a metaadatokra nem. A WhatsApp továbbra is tudja, hogy kivel és mikor csevegsz a legtöbbet. Ez lehetővé teszi a Meta számára, hogy nagyon közelről megismerje az Önt körülvevő társadalmi hálót. A Meta ezeket az információkat például arra használja fel, hogy olyan hirdetéseket célozzon meg, amelyek iránt a barátaid már érdeklődtek. Úgy tűnik, hogy a DPC most egyszerűen nem volt hajlandó dönteni ebben az ügyben, 4,5 évnyi vizsgálat ellenére"
A DPC és a Meta együttműködött, és az EDPB felülbírálta. Az eljárás során a Meta tíz bizalmas találkozóra hivatkozott az ír DPC-vel, amelyeken a DPC engedélyezte a Meta számára ezt a "kerülőutat". Később kiderült, hogy a DPC a Meta érdekében még a vonatkozó EDPB iránymutatásokat is megpróbálta befolyásolni. Ennek ellenére a többi európai adatvédelmi hatóság 2018-ban belsőleg, 2019-ben az iránymutatásokban, majd 2022 decemberében a végleges EDPB-határozatban ismét elutasította a DPC álláspontját. Az ügy 4,5 évig eszkalálódott, több száz oldalnyi jelentéssel és beadvánnyal, annak ellenére, hogy az ügy egy meglehetősen egyszerű jogi kérdésről szólt.
Max Schrems:"Ez az ügy egy egyszerű jogi kérdésről szól. A Meta azt állítja, hogy a 'bypass' a DPC áldásával történt. A DPC évekig húzta az eljárást, és ragaszkodott ahhoz, hogy a Meta megkerülheti a GDPR-t, de most a többi uniós hatóság felülbírálta. Összességében ez már a negyedik alkalom egymás után, hogy az ír DPC-t felülbírálták."
