Szeptember elején Írország Adatvédelmi Bizottsága 225 millió eurós, átszámítva 82,6 milliárd forintos büntetést szabott ki a WhatsApp-ra az adatvédelmi szabályok megsértése miatt. A csevegőalkalmazás időközben átalakította az irányelveit és fellebbezett a döntés ellen. A KNP LAW ügyvédi iroda megvizsgálta, milyen következményei lehetnek a rekordbírságnak.
Az előzmények
A büntetés egy 2018-ban indult vizsgálathoz kapcsolódik, amely azt volt hivatott megállapítani, hogy a WhatsApp kellően átláthatóan kezeli-e a felhasználói adatokat. A felmerülő problémák rendkívül technikai jellegűek voltak. A felügyelők egyebek között azt elemezték, hogy a cég megfelelően tájékoztatta-e a felhasználókat az adataik kezeléséről, illetve, hogy mennyire voltak világosak az adatvédelmi irányelvei. Az utóbbiakat egyébként a cég az elmúlt években többször is módosította. A bizottság döntése azt jelzi, hogy a cég nem tett eleget a GDPR előírásoknak. Indokolásában arra is kitért a testület, hogy a WhatsApp nem részletezte kellően az egyes adatkezelési tevékenységek jogalapját sem.
A KNP rámutatott, hogy a WhatsApp adatfeldolgozási tevékenységeinek határokon átnyúló jellege miatt más érintett felügyeleti hatóságok is felülvizsgálták a határozattervezetet, amely ellen nyolc uniós szabályozó hatóság –köztük a magyar– emelt kifogást. Mivel nem jutottak dűlőre, ezért az Európai Adatvédelmi Testület (EDPB) elé terjesztették az ügyet.
Az ír felügyeleti szerv eleinte 30-50 millió eurós bírságot akart a csevegőapp nyakába akasztani, de az EDPB ez kevesellte. Állítása szerint a nem a WhatsApp, hanem az anyavállalata, a Meta éves forgalmát kellett volna figyelembe venni. Emlékeztetett, hogy a GDPR-t megszegő vállalatok az előző pénzügyi évük teljes világpiaci forgalmának akár négy százalékát kitevő bírsággal is sújthatók. Az EDPB felhívta a figyelmet arra is, hogy minden bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie, így a forgalom figyelembevétele elengedhetetlen-részletezi a KNP.
(Ha valakit érdekel az Európai Adatvédelmi Testület vizsgálati jelentésének mind a 266 oldala, ezen a linken megtalálja.)
Az ítélet
Az EDPB álláspontját figyelembe véve a Bizottság végül 225 millió eurós bírságot szabott ki a WhatsApp-ra 2021. szeptember 2-án. Emellett elrendelte, hogy három hónapon belül összhangba kell hoznia az adatkezelési tevékenységeit a GDPR rendelkezéseivel.
Utóbbi azt jelenti, hogy a csevegőappnak frissítenie kell a közvetlenül és a közvetetten érintett felhasználókra vonatkozó adatvédelmi tájékoztatóit úgy, hogy azok tartalmazzák a GDPR 13. és 14. cikkében előírt információkat. Végezetül részleteznie kell, hogy a felhasználók hogyan nyújthatnak be panaszt a felügyeleti hatósághoz a vállalat adatfeldolgozási tevékenységeivel kapcsolatban.
A bizottság korábban még soha nem szabott ki ekkora bírságot egyetlen vállalatra sem. Sőt, a GDPR előírásokhoz köthető bírságok listáján is a második helyet foglalja el a WhatsApp esete, közvetlenül az Amazon mögött.
A fellebbezés
Declan McGrath SC, a WhatsApp képviselője aránytalannak nevezte a büntetést, véleménye szerint a kiszabott bírság büntetőjogi szankciót jelent, mértéke pedig a WhatsApp alkotmányos tulajdonjogába való beavatkozásnak minősül, ezáltal a döntés is alkotmányellenes. A cég azt is nehezményezi, hogy a 2018-as Adatvédelmi törvény csak a közigazgatási bírság megtámadását teszi lehetővé. Ebből pedig az következik, hogy a törvény sérti az Emberi Jogok Európai Egyezményének 6. cikkét, amely kimondja, hogy mindenkinek joga van ahhoz, hogy a törvény által létrehozott független és pártatlan bíróság ésszerű időn belül tisztességes és nyilvános tárgyalást tartson-fejti ki a KNP LAW.
A WhatsApp a fentiekre hivatkozva azt kéri, hogy
- a bírságról szóló határozatot semmisítsék meg,
- az Adatvédelmi törvény egyes rendelkezéseit nyilvánítsák alkotmányellenesnek és érvénytelenek
A várható következmények
A fellebbezés kapcsán számos aggály merül fel. Lehetséges, hogy az adatvédelmi hatóság eltért az európai adatvédelmi normáktól, amikor a különálló adatvédelmi jogsértésekért kiszabott bírságokat összeadta, ahelyett, hogy a legsúlyosabb jogsértésért szabott volna ki büntetést. Az is kérdéses, hogy az érintett felügyelő hatóságok követték-e a megfelelő eljárást, amikor további jogsértésekkel egészítették ki a határozatot anélkül, hogy lehetőséget adtak volna a vállalatnak a válaszadásra. A legsúlyosabb következménye a rekordbírságnak ugyanakkor az, hogy a WhatsApp adatkezelését érintő irányelvek módosítását nem lehet végrehajtani, amíg a vállalat az adatvédelmi döntés ellen fellebbezéssel él, az eljárás azonban évekig is eltarthat
– foglalta össze a döntéssel kapcsolatos problémákat dr. Huszár Daniella, a KNP LAW munkatársa.
A fellebbezés ellenére a WhatsApp idő közben módosította adatvédelmi szabályzatát úgy, hogy jobban megfeleljen a GDPR előírásoknak.
A vállalat hangsúlyozta, hogy az app szolgáltatásai és a felhasználókkal kötött szerződéses megállapodások nem változnak. Az embereknek nem kell új feltételekbe beleegyezniük, valamint extra lépésekre sem kell számítani a WhatsApp használatának folytatásához. A módosítások célja az, hogy részletesebb információkat szolgáltassanak a meglévő gyakorlatokról.
Ez az újítás nem változtatja meg, hogyan dolgozzuk fel, használjuk vagy osztjuk meg másokkal a felhasználói adatokat, beleértve a Metát is, ahogyan a szolgáltatásaink működési módja sem változik
-olvasható a cég közleményében.