Spoločnosť WhatsApp čelí pokute vo výške 5,5 milióna eur, keďže DPC obmedzila rozsah konania proti spoločnosti WhatsApp a zamietla žiadosť EDPB o prešetrenie záležitostí, ako je zdieľanie údajov v rámci spoločnosti Meta.
Ako dnes potvrdil írsky DPC, Európsky výbor pre ochranu údajov (EDPB) rozhodol, že spoločnosť Meta nemôže nútiť používateľov WhatsApp, aby súhlasili s používaním svojich údajov na "zlepšenie služieb" a "bezpečnosť". Hlavnou otázkou je používanie údajov na "účely behaviorálnej reklamy, na marketingové účely, ako aj na poskytovanie metrík tretím stranám a výmenu údajov s pridruženými spoločnosťami " sa írsky DPC nezaoberal - napriek záväznému rozhodnutiu EDPB, že tieto záležitosti sa musia prešetriť. Rozhodnutie prichádza 4,5 roka po podaní pôvodných sťažností zo strany noyb, o obchádzaní GDPR spoločnosťou Meta prostredníctvom doložky v obchodných podmienkach.
- Vysvetľujúce video o obchádzaní pravidiel spoločnosťou Meta (od decembra 2022)
- Blogpost o rozhodnutiach na Facebooku a Instagrame
- Pôvodné sťažnosti spoločnosti noyb z roku 2018
- Konečné rozhodnutie DPC (PDF)
- Rozhodnutie EDPB (PDF)
Kľúčové fakty:
- Dňa 25. mája 2018 podala spoločnosť noyb tri sťažnosti proti spoločnostiam Facebook, Instagram a WhatsApp na základe núteného súhlasu.
- O dvoch sťažnostiach podaných proti Facebooku a Instragramu v mene rakúskeho a belgického používateľa bolo rozhodnuté v prvom januárovom týždni, čo viedlo k uloženiu pokuty v celkovej výške 390 miliónov EUR.
- Tretie rozhodnutie týkajúce sa spoločnosti WhatsApp v mene nemeckého používateľa bolo zverejnené dnes.
- Spoločnosť Meta sa pokúsila "obísť" požiadavku súhlasu v GDPR pridaním doložky do podmienok pre reklamu.
- V decembri 2022 EDPB zrušil predchádzajúci návrh rozhodnutia írskeho DPC, ktorý zastával názor, že obchádzanie GDPR spoločnosťou Meta bolo zákonné, a EDPB požiadal o zmeny v rozhodnutí o spoločnosti WhatsApp, ako aj o ďalšie vyšetrovanie základných porušení zo strany spoločnosti WhatsApp.
- DPC teraz upravil svoje obmedzené rozhodnutie, ale odmietol prešetriť ďalšie záležitosti, ako to nariadil EDPB. DPC hrozí, že podá žalobu na svojich európskych partnerov.
- Rozhodnutie pravdepodobne vyžaduje, aby spoločnosť WhatsApp zaviedla "opt-in" pre používanie osobných údajov na "zlepšenie produktu", zatiaľ čo používanie osobných údajov na účely bezpečnosti by sa mohlo do veľkej miery presunúť na iný právny základ.
Meta chcela "obísť" nariadenie GDPR. GDPR umožňuje šesť právnych základov na spracovanie údajov, pričom jedným z nich je súhlas podľa článku 6 ods. 1 písm. a). Spoločnosť Meta sa pokúsila obísť požiadavku súhlasu na sledovanie a online reklamu tvrdením, že reklamy sú súčasťou "služby", ktorú zmluvne dlhuje používateľom. K údajnej zmene právneho základu došlo presne o polnoci 25. mája 2018, keď GDPR nadobudlo účinnosť. Takzvaná "zmluvná nevyhnutnosť" podľa článku 6 ods. 1 písm. b) sa zvyčajne chápe úzko a umožňovala by napr. internetovému obchodu postúpiť adresu poštovej službe, pretože je to nevyhnutne potrebné na doručenie objednávky. Spoločnosť Meta však zastávala názor, že môže do zmluvy pridať náhodné prvky (napr. personalizovanú reklamu), aby sa vyhla možnosti súhlasu áno/nie pre svojich používateľov.
DPC obmedzuje prípad na "bezpečnosť" a "zlepšenie služieb". DPC teraz obmedzil 4,5-ročné konanie na menej závažné otázky právneho základu pre používanie údajov na bezpečnostné účely a na zlepšenie služieb. DPC tak ignoruje hlavné otázky zdieľania údajov WhatsApp s inými spoločnosťami Meta (Facebook a Instagram) na reklamné, ako aj iné účely. Hoci by používatelia mali byť požiadaní o používanie svojich údajov na zlepšovanie produktov prostredníctvom súhlasu, zdá sa byť jasné, že používanie údajov na účely bezpečnosti je podľa GDPR naďalej legálne, aj keď už nie je zahrnuté v zmluve.
Max Schrems:"Sme prekvapení, ako DPC po 4,5-ročnom konaní jednoducho ignoruje jadro veci. DPC tiež jasne ignoruje záväzné rozhodnutie EDPB. Zdá sa, že DPC definitívne pretrháva všetky väzby s partnerskými orgánmi EÚ a s požiadavkami práva EÚ a Írska."
"Metadáta" aplikácie WhatsApp sa ďalej používajú na personalizované reklamy? Hoci WhatsApp neposkytuje personalizované reklamy, poskytuje Facebooku a Instagramu takzvané "metadáta", ktoré sa následne používajú na personalizovanú reklamu na týchto dvoch platformách sociálnych médií. Tieto metadáta odhaľujú množstvo informácií o komunikačnom správaní používateľov: kto s kým a kedy komunikuje, kto kedy používa aplikáciu, ako dlho a ako často. Zatiaľ čo samotná komunikácia je šifrovaná, telefónne čísla a súvisiace účty ľudí na Facebooku alebo Instagrame sa zhromažďujú. Takéto informácie sa potom môžu použiť na personalizáciu reklám pre používateľov na iných platformách Meta, ako sú Facebook a Instagram. Zdá sa, že DPC odmietla prešetriť túto hlavnú záležitosť sťažností.
Max Schrems: "WhatsApp tvrdí, že je šifrovaný, ale to platí len pre obsah konverzácií - nie pre metadáta. WhatsApp stále vie, s kým a v akom čase sa najviac rozprávate. To umožňuje spoločnosti Meta získať veľmi blízky prehľad o sociálnej štruktúre okolo vás. Meta tieto informácie využíva napríklad na cielenie reklám, o ktoré sa priatelia už zaujímali. Zdá sa, že DPC teraz jednoducho odmietla v tejto veci rozhodnúť, a to napriek 4,5 rokom vyšetrovania."
DPC a Meta spolupracovali a dostali rozhodnutie EDPB. V priebehu konania sa spoločnosť Meta opierala o desať dôverných stretnutí s írskou DPC, na ktorých DPC povolila spoločnosti Meta použiť tento "bypass". Neskôr sa ukázalo, že DPC sa dokonca pokúsilo ovplyvniť príslušné usmernenia EDPB v záujme spoločnosti Meta. Napriek tomu ostatné európske orgány na ochranu údajov interne odmietli stanovisko DPC v roku 2018, v Usmerneniach v roku 2019 a opäť v konečnom rozhodnutí EDPB v decembri 2022. Prípad sa vystupňoval na 4,5 roka so stovkami strán správ a podaní napriek tomu, že prípad sa týkal pomerne jednoduchej právnej otázky.
Max Schrems:"Tento prípad sa týka jednoduchej právnej otázky. Spoločnosť Meta tvrdí, že 'obchvat' sa uskutočnil s požehnaním DPC. DPC roky preťahovalo konanie a trvalo na tom, že Meta môže obchádzať GDPR, ale teraz bolo zrušené inými orgánmi EÚ. Celkovo je to už štvrtýkrát za sebou, čo bolo írske DPC zrušené."
