SEMANČÍN & PARTNERS

    Írsky úrad na ochranu osobných údajov udelil spoločnosti Whatsapp Ireland Limited pokutu vo výške 225 mil. €

    3. 9. 2021

    smartphone-5064084_1920.jpg

    Írsky Úrad na ochranu osobných údajov (ďalej ako „DPC“) dňa 2. septembra 2021 zverejnil rozhodnutie, v ktorom spoločnosti WhatsApp Ireland Limited, ktorá od roku 2014 patrí Facebooku (ďalej ako „WhatsApp“) udelil pokutu vo výške 225 mil. €.

    Konanie prebiehalo na DPC od roku 2018 a bolo zamerané na preskúmanie transparentnosti, spracúvania osobných údajov používateľov, ako aj iných dotknutých osôb a prenášania osobných údajov medzi WhatsAppom a Facebookom. Kompletné znenie Rozhodnutia je dostupné na webovej stránke DPC[1] v rozsahu 265 strán.

    DPC dospel k záveru, že WhatsApp porušil GDPR[2]:

    1. V článku 12 a článku 13 - DPC uviedol, že rozsah osôb, ktorých sa porušenie dotýka je extrémne vysoký a zároveň používateľom WhatsAppu nie sú poskytované dostatočné informácie aby mohli náležite zvážiť vykonávať svoje práva dotknutých osôb.

    2. V článku 14 – DPC uviedol, že pri osobách, ktoré nie sú používateľmi aplikácie WhatsApp sú spracúvané osobné údaje po krátku dobu, avšak pravidelne. Úrad ďalej uviedol, že WhatsApp má prístup k telefónnym číslam osôb, ktoré nie sú používateľmi. WhatsApp uviedol, že spracúvané údaje sú šifrované a nedokáže priradiť telefónne číslo ku konkrétnej osobe. Rozhodnutie uvádza, že pri spojení zoznamu šifrovaných dát a telefónneho čísla sa telefónne číslo stáva osobným údajom, ktorý WhatsApp spracúva[3].

    DPC v rozhodnutí uviedol, že porušenia, ktorých sa WhatsApp dopustil sú závažné, čo sa týka rozsahu potenciálne dotknutých subjektov ako aj rozsiahlych následkov vyplývajúcich z nesplnenia požiadaviek transparentnosti GDPR ( s poukazom na článok 14 GDPR a porušenie povinností v o vzťahu k osobám, ktoré nie sú používateľmi)[4].

    DPC v rozhodnutí uviedol 3 zistenia:

    1. Informácie WhatsAppu o spracúvaní osobných údajov sú nedostatočne dostupné pre používateľov ako aj tretie osoby, nasledovne:
    • Relevantné informácie pre dotknuté osoby sú neprehľadne obsiahnuté vo viacerých dokumentoch a zároveň dodatočné informácie sú sprístupňované cez rôzne tlačidlá a linkové prepojenia, ktoré poskytujú čiastkové informácie.
    • Niektoré informácie sú pre dotknuté osoby ťažšie dosiahnuteľné, DPC odkazuje najmä na informácie týkajúce sa personalizovaného marketingu, geolokácie a retenčného obdobia.[5]

    2.WhatsApp sa dopustil porušení v oblasti transparentnosti a informačnej povinnosti podľa článkov 12 a 13, konkrétne:

    a) Informácie poskytované WhatsAppom neumožňuje používateľom dostatočne porozumieť následkom spracúvania ich osobných údajov, najmä v častiach:

    • Popisu použitých účelov spracúvania osobných údajov
    • Popisu rozsahu spracúvaných osobných údajov
    • Právny základ pre spracúvanie osobných údajov na personalizovaný marketing
    • Nejasné právne základy na čiastočné spracovateľské operácie
    • Doby uchovávania osobných údajov[6]

    b) Súhlas, na ktorom WhatsApp založil personalizovaný marketing nebol získaný zákonným spôsobom[7]

    Záver:

    Na základe vyššie uvedených skutočností DPC uložil WhatsAppu pokutu v celkovej výške 225 mil. €. Pokuta sa skladá z niekoľkých častí:

    1. 90 mil. € za porušenie článku 5 ods. 1 písm. a) GDPR
    2. 30 mil. € za porušenie článku 12 GDPR
    3. 30 mil. € za porušenie článku 13 GDPR
    4. 75 mil. € za porušenie článku 14 GDPR

    WhatsApp ohlásil, že pokutu považuje za neprimeranú a voči rozhodnutiu plánuje podať odpor.

    Zdroje:

    [1] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf

    [2] https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32016R0679&from=SK

    [3] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf strana č. 205, ods. 712

    [4] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 227, ods. 801

    [5] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 810

    [6] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 811

    [7] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf str. č. 233, ods. 812

    Povoliť Cookies

    Táto stránka využíva súbory "cookies". Vďaka nim presnejšie analyzujeme návštevnosť, prispôsobujeme reklamu a používateľské nastavenia. Súhlasíte so spracovaním súvisiacich osobných údajov na analytické a remarketingové účely?

    Nastavenia cookies