WhatsApp grozi 5,5 mln euro kary, bo DPC ogranicza zakres sprawy przeciwko WhatsApp i odrzuca wniosek EDPB o zbadanie takich spraw jak udostępnianie danych w ramach Meta.
Jak potwierdził dziś irlandzki DPC, Europejska Rada Ochrony Danych (EDPB) zdecydowała, że Meta nie może zmusić użytkowników WhatsApp do wyrażenia zgody na wykorzystanie ich danych w celu "poprawy usług" i "bezpieczeństwa". Zasadniczą kwestią jest wykorzystanie danych do "celów reklamy behawioralnej, w celach marketingowych, a także w celu dostarczania metryk osobom trzecim i wymiany danych z firmami powiązanymi " nie były rozpatrywane przez irlandzki DPC - pomimo wiążącej decyzji EDPB, że sprawy te muszą być zbadane. Decyzja przychodzi 4,5 roku po tym, jak pierwotne skargi zostały złożone przez noyb, w sprawie obejścia GDPR przez Metę poprzez klauzulę w warunkach umowy.
- Wideo wyjaśniające na temat obejścia Meta (od grudnia 2022)
- Blogpost dotyczący decyzji na Facebooku i Instagramie
- Oryginalne skargi złożone przez noyb z 2018 r
- Ostateczna decyzja DPC (PDF)
Kluczowe fakty:
- 25 maja 2018 roku noyb złożył trzy skargi przeciwko Facebookowi, Instagramowi i WhatsAppowi na podstawie wymuszonej zgody.
- Dwie skargi złożone przeciwko Facebookowi i Instragramowi w imieniu austriackiego i belgijskiego użytkownika zostały rozstrzygnięte w pierwszym tygodniu stycznia, co doprowadziło do nałożenia łącznej kary w wysokości 390 milionów euro.
- Trzecia decyzja w sprawie WhatsApp w imieniu niemieckiego użytkownika została opublikowana dzisiaj.
- Meta próbowała "obejść" wymóg zgody zawarty w GDPR poprzez dodanie klauzuli do warunków reklamy.
- W grudniu 2022 roku EDPB obalił poprzedni projekt decyzji irlandzkiego DPC, który stał na stanowisku, że obejście GDPR przez Metę było zgodne z prawem, a EDPB zażądał zmian w decyzji w sprawie WhatsApp, a także dalszych dochodzeń w sprawie podstawowych naruszeń WhatsApp.
- DPC dostosowała teraz swoją ograniczoną decyzję, ale odmawia zbadania innych spraw, zgodnie z nakazem EDPB. DPC grozi wniesieniem pozwu przeciwko swoim europejskim partnerom.
- Decyzja prawdopodobnie wymaga od WhatsApp wdrożenia "opt-in" dla wykorzystania danych osobowych w celu "ulepszenia produktu", podczas gdy wykorzystanie danych osobowych dla bezpieczeństwa mogłoby w dużej mierze zostać przesunięte na inną podstawę prawną.
Meta chciała "ominąć" GDPR. GDPR pozwala na sześć podstaw prawnych do przetwarzania danych, z których jedną jest zgoda na mocy art. 6 ust. 1 lit. a). Meta próbowała obejść wymóg zgody na śledzenie i reklamy online, argumentując, że reklamy są częścią "usługi", którą umownie zawdzięcza użytkownikom. Rzekoma zamiana podstawy prawnej nastąpiła dokładnie 25 maja 2018 r. o północy, gdy GDPR weszło w życie. Tak zwana "konieczność umowna" z art. 6 ust. 1 lit. b) jest zwykle rozumiana wąsko i pozwalałaby np. sklepowi internetowemu na przekazanie adresu do usługi pocztowej, ponieważ jest to ściśle niezbędne do dostarczenia zamówienia. Meta stanęła jednak na stanowisku, że może dodać do umowy elementy losowe (takie jak spersonalizowane reklamy), aby uniknąć opcji zgody tak/nie dla swoich użytkowników.
DPC ogranicza sprawę do "bezpieczeństwa" i "poprawy usług". Sąd Ochrony Danych ograniczył trwające 4,5 roku postępowanie do drobnych kwestii związanych z podstawą prawną wykorzystywania danych do celów bezpieczeństwa i poprawy usług. Tym samym DPC pomija istotne kwestie związane z udostępnianiem danych z WhatsApp innym spółkom należącym do Mety (Facebook i Instagram) w celach reklamowych, jak również w innych celach. Podczas gdy użytkownicy powinni być pytani o wykorzystanie ich danych do ulepszania produktów poprzez opt-in, wydaje się jasne, że wykorzystanie danych do bezpieczeństwa pozostaje legalne w ramach GDPR, nawet jeśli nie jest to już zawarte w umowie.
Max Schrems:"Jesteśmy zdumieni, jak DPC po 4,5-letnim postępowaniu po prostu ignoruje sedno sprawy. DPC wyraźnie ignoruje również wiążącą decyzję EDPB. Wydaje się, że DPC ostatecznie odcina wszelkie więzi z organami partnerskimi UE oraz z wymogami prawa unijnego i irlandzkiego."
"Metadane" WhatsApp dalej wykorzystywane do spersonalizowanych reklam? Podczas gdy WhatsApp nie zapewnia spersonalizowanych reklam, dostarcza tak zwane "metadane" do Facebooka i Instagrama, które z kolei są wykorzystywane do spersonalizowanych reklam na tych dwóch platformach mediów społecznościowych. Te metadane ujawniają mnóstwo informacji na temat zachowań komunikacyjnych użytkowników: kto z kim i kiedy się komunikuje, kto kiedy używa aplikacji, jak długo i jak często. Podczas gdy sama komunikacja jest zaszyfrowana, zbierane są numery telefonów i powiązane konta osób na Facebooku lub Instagramie. Takie informacje mogą być następnie wykorzystane do personalizacji reklam dla użytkowników na innych platformach Meta, takich jak Facebook i Instagram. Wydaje się, że DPC odmówił zbadania tej podstawowej kwestii skarg.
Max Schrems: "WhatsApp mówi, że jest szyfrowany, ale to dotyczy tylko treści czatów - nie metadanych. WhatsApp nadal wie, z kim najczęściej czatujesz i w jakim czasie. Dzięki temu Meta może bardzo dokładnie poznać tkankę społeczną wokół Ciebie. Meta wykorzystuje te informacje, aby np. kierować reklamy, którymi znajomi byli już zainteresowani. Wygląda na to, że DPC teraz po prostu odmówiło podjęcia decyzji w tej sprawie, pomimo 4,5 roku dochodzeń."
DPC i Meta współpracowały i dostały uchylenie przez EDPB. W trakcie postępowania Meta powołała się na dziesięć poufnych spotkań z irlandzkim DPC, w których DPC zezwoliło Mecie na korzystanie z tego "obejścia". Później ujawniono, że DPC próbowało nawet wpłynąć na odpowiednie wytyczne EDPB w interesie Mety. Mimo to pozostałe europejskie organy ochrony danych odrzuciły pogląd DPC wewnętrznie w 2018 roku, w Wytycznych w 2019 roku i ponownie w ostatecznej decyzji EDPB w grudniu 2022 roku. Sprawa eskalowała do 4,5 roku z setkami stron raportów i zgłoszeń, mimo że sprawa dotyczyła dość prostego pytania prawnego.
Max Schrems:"Ta sprawa dotyczy prostego pytania prawnego. Meta twierdzi, że 'obwodnica' powstała z błogosławieństwem DPC. Przez lata DPC przeciągało procedurę i nalegało, że Meta może ominąć GDPR, ale teraz zostało unieważnione przez inne organy UE. Wsumie to już czwarty raz z rzędu irlandzkie DPC zostało unieważnione."