Írsky úrad na ochranu osobných údajov udelil spoločnosti Whatsapp Ireland Limited pokutu vo výške 225 mil. €
Írsky Úrad na ochranu osobných údajov (ďalej ako „DPC“) dňa 2. septembra 2021 zverejnil rozhodnutie, v ktorom spoločnosti WhatsApp Ireland Limited, ktorá od roku 2014 patrí Facebooku (ďalej ako „WhatsApp“) udelil pokutu vo výške 225 mil. €.
Konanie prebiehalo na DPC od roku 2018 a bolo zamerané na preskúmanie transparentnosti, spracúvania osobných údajov používateľov, ako aj iných dotknutých osôb a prenášania osobných údajov medzi WhatsAppom a Facebookom. Kompletné znenie Rozhodnutia je dostupné na webovej stránke DPC[1] v rozsahu 265 strán.
DPC dospel k záveru, že WhatsApp porušil GDPR[2]:
-
V článku 12 a článku 13 - DPC uviedol, že rozsah osôb, ktorých sa porušenie dotýka je extrémne vysoký a zároveň používateľom WhatsAppu nie sú poskytované dostatočné informácie aby mohli náležite zvážiť vykonávať svoje práva dotknutých osôb.
-
V článku 14 – DPC uviedol, že pri osobách, ktoré nie sú používateľmi aplikácie WhatsApp sú spracúvané osobné údaje po krátku dobu, avšak pravidelne. Úrad ďalej uviedol, že WhatsApp má prístup k telefónnym číslam osôb, ktoré nie sú používateľmi. WhatsApp uviedol, že spracúvané údaje sú šifrované a nedokáže priradiť telefónne číslo ku konkrétnej osobe. Rozhodnutie uvádza, že pri spojení zoznamu šifrovaných dát a telefónneho čísla sa telefónne číslo stáva osobným údajom, ktorý WhatsApp spracúva[3].
DPC v rozhodnutí uviedol, že porušenia, ktorých sa WhatsApp dopustil sú závažné, čo sa týka rozsahu potenciálne dotknutých subjektov ako aj rozsiahlych následkov vyplývajúcich z nesplnenia požiadaviek transparentnosti GDPR ( s poukazom na článok 14 GDPR a porušenie povinností v o vzťahu k osobám, ktoré nie sú používateľmi)[4].
DPC v rozhodnutí uviedol 3 zistenia:
- Informácie WhatsAppu o spracúvaní osobných údajov sú nedostatočne dostupné pre používateľov ako aj tretie osoby, nasledovne:
- Relevantné informácie pre dotknuté osoby sú neprehľadne obsiahnuté vo viacerých dokumentoch a zároveň dodatočné informácie sú sprístupňované cez rôzne tlačidlá a linkové prepojenia, ktoré poskytujú čiastkové informácie.
- Niektoré informácie sú pre dotknuté osoby ťažšie dosiahnuteľné, DPC odkazuje najmä na informácie týkajúce sa personalizovaného marketingu, geolokácie a retenčného obdobia.[5]
2.WhatsApp sa dopustil porušení v oblasti transparentnosti a informačnej povinnosti podľa článkov 12 a 13, konkrétne:
a) Informácie poskytované WhatsAppom neumožňuje používateľom dostatočne porozumieť následkom spracúvania ich osobných údajov, najmä v častiach:
- Popisu použitých účelov spracúvania osobných údajov
- Popisu rozsahu spracúvaných osobných údajov
- Právny základ pre spracúvanie osobných údajov na personalizovaný marketing
- Nejasné právne základy na čiastočné spracovateľské operácie
- Doby uchovávania osobných údajov[6]
b) Súhlas, na ktorom WhatsApp založil personalizovaný marketing nebol získaný zákonným spôsobom[7]
Záver:
Na základe vyššie uvedených skutočností DPC uložil WhatsAppu pokutu v celkovej výške 225 mil. €. Pokuta sa skladá z niekoľkých častí:
- 90 mil. € za porušenie článku 5 ods. 1 písm. a) GDPR
- 30 mil. € za porušenie článku 12 GDPR
- 30 mil. € za porušenie článku 13 GDPR
- 75 mil. € za porušenie článku 14 GDPR
WhatsApp ohlásil, že pokutu považuje za neprimeranú a voči rozhodnutiu plánuje podať odpor.
Zdroje:
[2] https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32016R0679&from=SK
[3] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf strana č. 205, ods. 712
[4] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 227, ods. 801
[5] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 810
[6] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 811
[7] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 812