WhatsApp от Meta заплатит штраф в размере 5,5 миллиона евро за нарушения GDPR

Комиссия по защите данных Ирландии (“DPC”) в четверг оштрафовала принадлежащую Meta компанию WhatsApp Ireland на 5,5 миллиона евро (6 миллионов долларов США) за нарушение Общего регламента по защите данных (GDPR) в отношении своей службы в стране.

Помимо штрафа, DPC Ирландии предоставила социальным медиа-гигантам срок в шесть месяцев для приведения своих операций по обработке данных в соответствие с правилами GDPR или столкнуться с дальнейшими действиями.

Недавний штраф от DPC стал серьезным ударом для Meta, так как она недавно была оштрафована на 390 миллионов евро тем же органом, когда ее другие дочерние компании, Instagram и Facebook, были признаны нарушающими правила GDPR.

Что касается WhatsApp, решение, принятое DPC, является заключением расследования по жалобе, поданной 25 мая 2018 года немецким субъектом данных о службе WhatsApp.

Жалобщик оспаривал новые правила WhatsApp, требующие от пользователей принять новые условия “контракта” для доступа к их услугам, когда GDPR вступил в силу в 2018 году.

Согласно обновленным Условиям обслуживания платформы, пользователи, которые хотели продолжать доступ к своей службе WhatsApp после введения GDPR, должны были выбрать обновленные Условия обслуживания. В случае отказа от условий их услуги не были бы доступны.

Другими словами, WhatsApp фактически заставлял пользователей соглашаться на обработку данных, если они хотели продолжать использовать услуги, что, по мнению жалобщика, нарушало GDPR. Жалобщик считал, что пользователи должны иметь выбор относительно обрабатываемых данных.

После всестороннего расследования DPC, надзорный орган признал WhatsApp виновным в “нарушении своих обязательств в отношении прозрачности”, так как он не предоставил достаточной ясности о том, как осуществляется обработка данных и для каких целей это делается.

DPC установила, что WhatsApp Ireland на самом деле не полагалась на согласие пользователей как на законное основание для обработки их персональных данных.

WhatsApp Ireland “не имеет права полагаться на контрактное правовое основание как на законное основание для обработки персональных данных в целях улучшения услуг и безопасности”, добавила она и заявила, что правовое основание для обработки данных службы нарушает законодательство ЕС.

Окончательное решение о штрафе, принятое DPC 12 января 2023 года, следует за тремя обязательными решениями со стороны регулятора по защите данных ЕС, Европейского совета по защите данных (EDPB), в начале декабря.

Помимо штрафа, EDPB также предположила направить DPC провести новое расследование по следующим вопросам:

“Операции по обработке данных WhatsApp IE в его службе, чтобы определить, обрабатывает ли он специальные категории персональных данных (статья 9 GDPR), обрабатывает данные для целей поведенческой рекламы, для маркетинговых целей, а также для предоставления метрик третьим лицам и обмена данными с аффилированными компаниями для целей улучшения услуг, и чтобы определить, соблюдает ли он соответствующие обязательства в соответствии с GDPR.”

В ответ на решение DPC, принятое в четверг, Meta заявила, что обжалует это решение и будет стремиться его отменить.

“Мы твердо верим, что способ работы службы является как технически, так и юридически соответствующим. Мы полагаемся на контрактную необходимость для улучшения услуг и безопасности, потому что считаем, что помощь в обеспечении безопасности людей и предложение инновационного продукта является основной ответственностью в работе нашей службы”, - сказал представитель WhatsApp.

“Мы не согласны с решением и намерены подать апелляцию.”