Egy szürke felsős, karkötős nő a kezében tartja okostelefonját, amin a WhatsApp alkalmazása töltődik, a háttérben egy zöld füves terület látható

Szeptember elején Írország Adatvédelmi Bizottsága 225 millió eurós, átszámítva 82,6 milliárd forintos büntetést szabott ki a WhatsApp-ra az adatvédelmi szabályok megsértése miatt. A csevegőalkalmazás időközben átalakította az irányelveit és fellebbezett a döntés ellen. A KNP LAW ügyvédi iroda megvizsgálta, milyen következményei lehetnek a rekordbírságnak.



Az előzmények

A büntetés egy 2018-ban indult vizsgálathoz kapcsolódik, amely azt volt hivatott megállapítani, hogy a WhatsApp kellően átláthatóan kezeli-e a felhasználói adatokat. A felmerülő problémák rendkívül technikai jellegűek voltak. A felügyelők egyebek között azt elemezték, hogy a cég megfelelően tájékoztatta-e a felhasználókat az adataik kezeléséről, illetve, hogy mennyire voltak világosak az adatvédelmi irányelvei. Az utóbbiakat egyébként a cég az elmúlt években többször is módosította. A bizottság döntése azt jelzi, hogy a cég nem tett eleget a GDPR előírásoknak. Indokolásában arra is kitért a testület, hogy a WhatsApp nem részletezte kellően az egyes adatkezelési tevékenységek jogalapját sem.

A KNP rámutatott, hogy a WhatsApp adatfeldolgozási tevékenységeinek határokon átnyúló jellege miatt más érintett felügyeleti hatóságok is felülvizsgálták a határozattervezetet, amely ellen nyolc uniós szabályozó hatóság –köztük a magyar– emelt kifogást. Mivel nem jutottak dűlőre, ezért az Európai Adatvédelmi Testület (EDPB) elé terjesztették az ügyet.

Az ír felügyeleti szerv eleinte 30-50 millió eurós bírságot akart a csevegőapp nyakába akasztani, de az EDPB ez kevesellte. Állítása szerint a nem a WhatsApp, hanem az anyavállalata, a Meta éves forgalmát kellett volna figyelembe venni. Emlékeztetett, hogy a GDPR-t megszegő vállalatok az előző pénzügyi évük teljes világpiaci forgalmának akár négy százalékát kitevő bírsággal is sújthatók. Az EDPB felhívta a figyelmet arra is, hogy minden bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie, így a forgalom figyelembevétele elengedhetetlen-részletezi a KNP.

(Ha valakit érdekel az Európai Adatvédelmi Testület vizsgálati jelentésének mind a 266 oldala, ezen a linken megtalálja.)

Az ítélet

Az EDPB álláspontját figyelembe véve a Bizottság végül 225 millió eurós bírságot szabott ki a WhatsApp-ra 2021. szeptember 2-án. Emellett elrendelte, hogy három hónapon belül összhangba kell hoznia az adatkezelési tevékenységeit a GDPR rendelkezéseivel.

Utóbbi azt jelenti, hogy a csevegőappnak frissítenie kell a közvetlenül és a közvetetten érintett felhasználókra vonatkozó adatvédelmi tájékoztatóit úgy, hogy azok tartalmazzák a GDPR 13. és 14. cikkében előírt információkat. Végezetül részleteznie kell, hogy a felhasználók hogyan nyújthatnak be panaszt a felügyeleti hatósághoz a vállalat adatfeldolgozási tevékenységeivel kapcsolatban.

A bizottság korábban még soha nem szabott ki ekkora bírságot egyetlen vállalatra sem. Sőt, a GDPR előírásokhoz köthető bírságok listáján is a második helyet foglalja el a WhatsApp esete, közvetlenül az Amazon mögött.

A fellebbezés

Declan McGrath SC, a WhatsApp képviselője aránytalannak nevezte a büntetést, véleménye szerint a kiszabott bírság büntetőjogi szankciót jelent, mértéke pedig a WhatsApp alkotmányos tulajdonjogába való beavatkozásnak minősül, ezáltal a döntés is alkotmányellenes. A cég azt is nehezményezi, hogy a 2018-as Adatvédelmi törvény csak a közigazgatási bírság megtámadását teszi lehetővé. Ebből pedig az következik, hogy a törvény sérti az Emberi Jogok Európai Egyezményének 6. cikkét, amely kimondja, hogy mindenkinek joga van ahhoz, hogy a törvény által létrehozott független és pártatlan bíróság ésszerű időn belül tisztességes és nyilvános tárgyalást tartson-fejti ki a KNP LAW.

A WhatsApp a fentiekre hivatkozva azt kéri, hogy

  • a bírságról szóló határozatot semmisítsék meg,
  • az Adatvédelmi törvény egyes rendelkezéseit nyilvánítsák alkotmányellenesnek és érvénytelenek

A várható következmények

A fellebbezés kapcsán számos aggály merül fel. Lehetséges, hogy az adatvédelmi hatóság eltért az európai adatvédelmi normáktól, amikor a különálló adatvédelmi jogsértésekért kiszabott bírságokat összeadta, ahelyett, hogy a legsúlyosabb jogsértésért szabott volna ki büntetést. Az is kérdéses, hogy az érintett felügyelő hatóságok követték-e a megfelelő eljárást, amikor további jogsértésekkel egészítették ki a határozatot anélkül, hogy lehetőséget adtak volna a vállalatnak a válaszadásra. A legsúlyosabb következménye a rekordbírságnak ugyanakkor az, hogy a WhatsApp adatkezelését érintő irányelvek módosítását nem lehet végrehajtani, amíg a vállalat az adatvédelmi döntés ellen fellebbezéssel él, az eljárás azonban évekig is eltarthat

– foglalta össze a döntéssel kapcsolatos problémákat dr. Huszár Daniella, a KNP LAW munkatársa.

A fellebbezés ellenére a WhatsApp idő közben módosította adatvédelmi szabályzatát úgy, hogy jobban megfeleljen a GDPR előírásoknak.

A vállalat hangsúlyozta, hogy az app szolgáltatásai és a felhasználókkal kötött szerződéses megállapodások nem változnak. Az embereknek nem kell új feltételekbe beleegyezniük, valamint extra lépésekre sem kell számítani a WhatsApp használatának folytatásához. A módosítások célja az, hogy részletesebb információkat szolgáltassanak a meglévő gyakorlatokról.

Ez az újítás nem változtatja meg, hogyan dolgozzuk fel, használjuk vagy osztjuk meg másokkal a felhasználói adatokat, beleértve a Metát is, ahogyan a szolgáltatásaink működési módja sem változik

-olvasható a cég közleményében.

A módosított, bővített adatvédelmi szabályzat kizárólag Európában és az Egyesült Királyságban kerül bevezetésre. A cég hozzátette, a változtatások előtt is ezeken a területeken alkalmazták a legszigorúbb adatkezelési irányelveket.

The Conversation

Ne hagyd ki!