WhatsApp se odvolá proti pokutě za porušení zákonů EU o ochraně osobních údajů

Irský komisař pro ochranu osobních údajů (Data Privacy Commissioner, DPC) uložil komunikační platformě WhatsApp, kterou vlastní Facebook, správní pokutu ve výši 225 milionů eur za porušení nařízení EU o ochraně osobních údajů GDPR poté, co neinformovala uživatele i neuživatele o tom, jak nakládá s jejich údaji.

Za porušení předpisů EU o ochraně osobních údajů mohou regulační orgány EU uložit maximální pokuty podle GDPR až do výše 20 milionů eur nebo 4 % ročního celosvětového obratu společnosti podle toho, která částka je vyšší.

Pokuta následuje po vyšetřování, které bylo zahájeno v prosinci 2018 poté, co úřad pro ochranu osobních údajů obdržel několik stížností od „jednotlivých subjektů údajů“ (uživatelů i neuživatelů) týkajících se činností společnosti WhatsApp v oblasti zpracování údajů.

V průběhu vyšetřování irský úřad DPC „zkoumal, zda společnost WhatsApp splnila své povinnosti týkající se transparentnosti GDPR, pokud jde o poskytování informací a transparentnost těchto informací uživatelům i neuživatelům služby WhatsApp“.

„To zahrnuje informace poskytované subjektům údajů o zpracování informací mezi společností WhatsApp a dalšími společnostmi Facebooku,“ vysvětlil regulátor.

Pokuta společnosti WhatsApp zahrnuje porušení předpisů, která regulační orgány EU zjistily:

• V souvislosti s čl. 5 odst. 1 písm. a) nařízení GDPR (pokuta ve výši 90 milionů eur);
• v souvislosti s článkem 12 GDPR (pokuta ve výši 30 milionů eur);
• v souvislosti s článkem 13 nařízení GDPR (pokuta ve výši 30 milionů EUR) a
• v souvislosti s článkem 14 nařízení GDPR (pokuta ve výši 75 milionů EUR).

Kromě pokuty irský úřad pro ochranu osobních údajů společnosti WhatsApp rovněž nařídil, aby své zpracování uvedla do souladu s požadavky GDPR přijetím řady stanovených nápravných opatření se lhůtou, která vyprší za tři měsíce. Rozhodnutí irského úřadu DPC naleznete zde.

Proti původní pokutě ve výši 50 milionů eur, kterou irský úřad pro ochranu osobních údajů navrhl, se postavilo osm dalších regulátorů ochrany osobních údajů v EU (včetně Německa, Francie, Maďarska, Itálie, Portugalska, Nizozemska a Polska) a nařídilo mu, aby ji přehodnotil. To vedlo k více než čtyřnásobnému zvýšení pokuty poté, co byl irský dozorčí orgán nucen při výpočtu výše pokuty zohlednit všechna porušení ze strany společnosti WhatsApp.

„Po dlouhém a komplexním vyšetřování předložil úřad DPC v prosinci 2020 návrh rozhodnutí všem dotčeným dozorovým úřadům (CSA) podle článku 60 GDPR. DPC následně obdržel námitky od osmi CSA,“ uvedl irský regulátor.

Toto rozhodnutí obsahovalo jasný pokyn, který vyžadoval, aby DPC přehodnotil a zvýšil navrhovanou pokutu na základě řady faktorů obsažených v rozhodnutí EDPB, a po tomto přehodnocení DPC uložil společnosti WhatsApp pokutu ve výši 225 milionů eur.

WhatsApp se odvolá

„Společnost WhatsApp se zavázala poskytovat bezpečné a soukromé služby. Pracovali jsme na tom, aby informace, které poskytujeme, byly transparentní a komplexní, a budeme v tom pokračovat,“ uvedla společnost v prohlášení.

„S rozhodnutím ohledně transparentnosti, kterou jsme lidem poskytovali v roce 2018, nesouhlasíme a sankce jsou zcela nepřiměřené. Proti tomuto rozhodnutí se odvoláme,“ bylo v prohlášení společnosti WhatsApp.

V květnu zakázal hamburský komisař pro ochranu údajů a svobodu informací (HmbBfDI) společnosti Facebook zpracovávat údaje uživatelů aplikace WhatsApp až do konce srpna poté, co společnost WhatsApp uvedla, že omezí funkce účtu uživatelů, kteří se odmítnou vzdát kontroly nad svými údaji a nechat je sdílet se společnostmi Facebooku.

Po zákazu HmbBfDI společnost WhatsApp od svých plánů ustoupila a uvedla, že „vzhledem k nedávným diskusím s různými úřady a odborníky na ochranu soukromí chceme jasně říct, že neomezíme funkčnost fungování aplikace WhatsApp pro ty, kteří ještě nepřijali aktualizaci.“

WhatsApp není jediný, kdo se potýká s hrozbou obří pokuty – Amazon v červenci dostal rekordní pokutu ve výši 746 milionů eur, kterou udělila lucemburská Národní komise pro ochranu údajů (CNPD) za porušení GDPR týkající se cílené behaviorální reklamy, což je vůbec největší pokuta udělená orgánem EU pro ochranu údajů za porušení GDPR. Společnost Amazon rovněž uvedla, že se proti tomuto rozhodnutí odvolá, protože „s rozhodnutím CNPD důrazně nesouhlasí“.

„Rozhodnutí týkající se způsobu, jakým zákazníkům zobrazujeme relevantní reklamu, se opírá o subjektivní a neověřený výklad evropského práva na ochranu osobních údajů a navrhovaná pokuta je zcela nepřiměřená i tomuto výkladu,“ stálo v prohlášení Amazonu.

Zdroj: Bleepingcomputer