SEMANČÍN & PARTNERS

Írsky úrad na ochranu osobných údajov udelil spoločnosti Whatsapp Ireland Limited pokutu vo výške 225 mil. €

3. 9. 2021

smartphone-5064084_1920.jpg

Írsky Úrad na ochranu osobných údajov (ďalej ako „DPC“) dňa 2. septembra 2021 zverejnil rozhodnutie, v ktorom spoločnosti WhatsApp Ireland Limited, ktorá od roku 2014 patrí Facebooku (ďalej ako „WhatsApp“) udelil pokutu vo výške 225 mil. €.

Konanie prebiehalo na DPC od roku 2018 a bolo zamerané na preskúmanie transparentnosti, spracúvania osobných údajov používateľov, ako aj iných dotknutých osôb a prenášania osobných údajov medzi WhatsAppom a Facebookom. Kompletné znenie Rozhodnutia je dostupné na webovej stránke DPC[1] v rozsahu 265 strán.

DPC dospel k záveru, že WhatsApp porušil GDPR[2]:

  1. V článku 12 a článku 13 - DPC uviedol, že rozsah osôb, ktorých sa porušenie dotýka je extrémne vysoký a zároveň používateľom WhatsAppu nie sú poskytované dostatočné informácie aby mohli náležite zvážiť vykonávať svoje práva dotknutých osôb.

  2. V článku 14 – DPC uviedol, že pri osobách, ktoré nie sú používateľmi aplikácie WhatsApp sú spracúvané osobné údaje po krátku dobu, avšak pravidelne. Úrad ďalej uviedol, že WhatsApp má prístup k telefónnym číslam osôb, ktoré nie sú používateľmi. WhatsApp uviedol, že spracúvané údaje sú šifrované a nedokáže priradiť telefónne číslo ku konkrétnej osobe. Rozhodnutie uvádza, že pri spojení zoznamu šifrovaných dát a telefónneho čísla sa telefónne číslo stáva osobným údajom, ktorý WhatsApp spracúva[3].

DPC v rozhodnutí uviedol, že porušenia, ktorých sa WhatsApp dopustil sú závažné, čo sa týka rozsahu potenciálne dotknutých subjektov ako aj rozsiahlych následkov vyplývajúcich z nesplnenia požiadaviek transparentnosti GDPR ( s poukazom na článok 14 GDPR a porušenie povinností v o vzťahu k osobám, ktoré nie sú používateľmi)[4].

DPC v rozhodnutí uviedol 3 zistenia:

  1. Informácie WhatsAppu o spracúvaní osobných údajov sú nedostatočne dostupné pre používateľov ako aj tretie osoby, nasledovne:
  • Relevantné informácie pre dotknuté osoby sú neprehľadne obsiahnuté vo viacerých dokumentoch a zároveň dodatočné informácie sú sprístupňované cez rôzne tlačidlá a linkové prepojenia, ktoré poskytujú čiastkové informácie.
  • Niektoré informácie sú pre dotknuté osoby ťažšie dosiahnuteľné, DPC odkazuje najmä na informácie týkajúce sa personalizovaného marketingu, geolokácie a retenčného obdobia.[5]

2.WhatsApp sa dopustil porušení v oblasti transparentnosti a informačnej povinnosti podľa článkov 12 a 13, konkrétne:

a) Informácie poskytované WhatsAppom neumožňuje používateľom dostatočne porozumieť následkom spracúvania ich osobných údajov, najmä v častiach:

  • Popisu použitých účelov spracúvania osobných údajov
  • Popisu rozsahu spracúvaných osobných údajov
  • Právny základ pre spracúvanie osobných údajov na personalizovaný marketing
  • Nejasné právne základy na čiastočné spracovateľské operácie
  • Doby uchovávania osobných údajov[6]

b) Súhlas, na ktorom WhatsApp založil personalizovaný marketing nebol získaný zákonným spôsobom[7]

Záver:

Na základe vyššie uvedených skutočností DPC uložil WhatsAppu pokutu v celkovej výške 225 mil. €. Pokuta sa skladá z niekoľkých častí:

  1. 90 mil. € za porušenie článku 5 ods. 1 písm. a) GDPR
  2. 30 mil. € za porušenie článku 12 GDPR
  3. 30 mil. € za porušenie článku 13 GDPR
  4. 75 mil. € za porušenie článku 14 GDPR

WhatsApp ohlásil, že pokutu považuje za neprimeranú a voči rozhodnutiu plánuje podať odpor.

Zdroje:

[1] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf

[2] https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32016R0679&from=SK

[3] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf strana č. 205, ods. 712

[4] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 227, ods. 801

[5] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 810

[6] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 811

[7] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 812

Povoliť Cookies

Táto stránka využíva súbory "cookies". Vďaka nim presnejšie analyzujeme návštevnosť, prispôsobujeme reklamu a používateľské nastavenia. Súhlasíte so spracovaním súvisiacich osobných údajov na analytické a remarketingové účely?

Nastavenia cookies