Írsky Úrad na ochranu osobných údajov udelil spoločnosti WhatsApp Ireland Limited pokutu vo výške 225 mil.€.

Írsky Úrad na ochranu osobných údajov udelil spoločnosti WhatsApp Ireland Limited pokutu vo výške 225 mil.€.

Írsky Úrad na ochranu osobných údajov (ďalej ako „DPC“) dňa 2. septembra 2021 zverejnil rozhodnutie, v ktorom spoločnosti WhatsApp Ireland Limited, ktorá od roku 2014 patrí Facebooku (ďalej ako „WhatsApp“) udelil pokutu vo výške 225 mil. €.

Konanie prebiehalo na DPC od roku 2018 a bolo zamerané na preskúmanie transparentnosti, spracúvania osobných údajov používateľov, ako aj iných dotknutých osôb a prenášania osobných údajov medzi WhatsAppom a Facebookom. Kompletné znenie Rozhodnutia je dostupné na webovej stránke DPC[1] v rozsahu 265 strán.

DPC dospel k záveru, že WhatsApp porušil GDPR[2]:

  1. V článku 12 a článku 13 - DPC uviedol, že rozsah osôb, ktorých sa porušenie dotýka je extrémne vysoký a zároveň používateľom WhatsAppu nie sú poskytované dostatočné informácie aby mohli náležite zvážiť vykonávať svoje práva dotknutých osôb.

                

  1. V článku 14 – DPC uviedol, že pri osobách, ktoré nie sú používateľmi aplikácie WhatsApp sú spracúvané osobné údaje po krátku dobu, avšak pravidelne. Úrad ďalej uviedol, že WhatsApp má prístup k telefónnym číslam osôb, ktoré nie sú používateľmi. WhatsApp uviedol, že spracúvané údaje sú šifrované a nedokáže priradiť telefónne číslo ku konkrétnej osobe.  Rozhodnutie uvádza, že pri spojení zoznamu šifrovaných dát a telefónneho čísla sa telefónne číslo stáva osobným údajom, ktorý WhatsApp spracúva[3].

 

DPC v rozhodnutí uviedol, že porušenia, ktorých sa WhatsApp dopustil sú závažné, čo sa týka rozsahu potenciálne dotknutých subjektov ako aj rozsiahlych následkov vyplývajúcich z nesplnenia požiadaviek transparentnosti GDPR ( s poukazom na článok 14 GDPR a porušenie povinností v o vzťahu k osobám, ktoré nie sú používateľmi)[4].

DPC v rozhodnutí uviedol 3 zistenia:

  1. Informácie WhatsAppu o spracúvaní osobných údajov sú nedostatočne dostupné pre používateľov ako aj tretie osoby, nasledovne:
  1. Relevantné informácie pre dotknuté osoby sú neprehľadne obsiahnuté vo viacerých dokumentoch a zároveň dodatočné informácie sú sprístupňované cez rôzne tlačidlá a linkové prepojenia, ktoré poskytujú čiastkové informácie.
  2. Niektoré informácie sú pre dotknuté osoby ťažšie dosiahnuteľné, DPC odkazuje najmä na informácie týkajúce sa personalizovaného marketingu, geolokácie a retenčného obdobia.[5]
  1. WhatsApp sa dopustil porušení v oblasti transparentnosti a informačnej povinnosti podľa článkov 12 a 13, konkrétne:
  1. Informácie poskytované WhatsAppom neumožňuje používateľom dostatočne porozumieť následkom spracúvania ich osobných údajov, najmä v častiach:
  1. Popisu použitých účelov spracúvania osobných údajov
  2. Popisu rozsahu spracúvaných osobných údajov
  3. Právny základ pre spracúvanie osobných údajov na personalizovaný marketing
  4. Nejasné právne základy na čiastočné spracovateľské operácie
  5. Doby uchovávania osobných údajov[6]
  1. Súhlas, na ktorom WhatsApp založil personalizovaný marketing nebol získaný zákonným spôsobom[7]

 

Záver:

Na základe vyššie uvedených skutočností DPC uložil WhatsAppu pokutu v celkovej výške 225 mil. €. Pokuta sa skladá z niekoľkých častí:

  1. 90 mil. € za porušenie článku 5 ods. 1 písm. a) GDPR
  2. 30 mil. € za porušenie článku 12 GDPR
  3. 30 mil. € za porušenie článku 13 GDPR
  4. 75 mil. € za porušenie článku 14 GDPR

WhatsApp ohlásil, že pokutu považuje za neprimeranú a voči rozhodnutiu plánuje podať odpor.

 

 

 


 


Autor:
Michal Orviský

Ďalšie novinky

Advokátsku kanceláriu Semančín & Partners nájdete v Polus Tower I, Vajnorská 100/A, Bratislava

Na vrch stránky