„WhatsApp“ skirta bauda už duomenų apsaugos įstatymų pažeidimus

„WhatsApp“ skirta 5,5 milijonų eurų bauda už duomenų apsaugos įstatymų pažeidimus

Airijos duomenų apsaugos komisija (DPC) praėjusią savaitę skyrė naują 5,5 mln. eurų baudą „WhatsApp Ireland“ už duomenų apsaugos įstatymų pažeidimus tvarkant naudotojų asmeninę informaciją^[1].

Sprendimo esmė – atnaujintos žinučių platformos paslaugų teikimo sąlygos, kurios buvo įvestos 2018 m. gegužę, prieš įsigaliojant Bendrajam duomenų apsaugos reglamentui (BDAR), ir pagal kurias reikalaujama, kad naudotojai, norėdami toliau naudotis paslauga, sutiktų su pakeistomis sąlygomis arba rizikuotų prarasti prieigą prie jų.

Skunde, kurį pateikė privatumo apsaugos organizacija NOYB, teigiama, kad „WhatsApp“ pažeidė reglamentą, nes privertė savo naudotojus sutikti su jų asmens duomenų tvarkymu paslaugų tobulinimo ir saugumo tikslais.

Institucija nurodė „WhatsApp“ per šešis mėnesius suderinti savo duomenų tvarkymo operacijas su reikalavimais, antraip jai gresia nauja bauda. 2018 m. gegužės 25 d. DPC pradėjo tyrimą dėl galimo įmonės padaryto reglamento pažeidimo gavusi Vokietijos duomenų subjekto skundą.

Tą pačią dieną „WhatsApp“ atnaujino savo paslaugų teikimo sąlygas ir paragino visus ES įsikūrusius naudotojus sutikti su pakeitimais, kad ir toliau būtų galima naudotis pagrindine programėlės sąsaja. Airijos įmonė neturi teisės remtis sutarties teisiniu pagrindu dėl paslaugų tobulinimo ir saugumo užtikrinimo, pasak DPC pareiškimo, iki šiol surinkti duomenys prilygsta BDAR pažeidimui.

Dar viena duomenų apsaugos bėda su „Meta“ programėlėmis

Be baudos, žinučių siuntimo programėlei taip pat nurodyta per šešis mėnesius suderinti savo veiklą su reikalavimais. Ši programėlė priklauso „Meta“ grupei, kurios pagrindinė būstinė Europoje yra Dubline. Tačiau DPC pažymėjo, kad neketina tirti, ar programėlė apdoroja naudotojų metaduomenis reklamos tikslais. DPC tai pavadino atviru ir spekuliatyviu klausimu. NOYB atsakyme kritikavo instituciją už tai, kad ji atsisako imtis veiksmų.

„WhatsApp“ sako, kad ji šifruojama, tačiau tai pasakytina tik apie pokalbių turinį – ne apie metaduomenis. Kaip teigiama, programėlė vis tiek žino, su kuo daugiausiai bendraujate ir kokiu laiku. Tai leidžia „Meta“ labai gerai suprasti jus supančią socialinę struktūrą.

„Meta“ šią informaciją naudoja, pavyzdžiui, nukreipti skelbimus, kuriais draugai jau domėjosi. Atrodo, kad DPC dabar tiesiog atsisakė priimti sprendimą šiuo klausimu, nepaisant 4,5 metų trukusio tyrimo. Tačiau bendrovė jau turėjo ne vieną skandalą^[2] ir duomenų apsaugos klausimas pastaruoju metu jau svarstomas ir baudas gauna ne viena programėlė ir ši bendrovė^[3].

Ypač daug atgarsių konkrečiai „WhatsApp“ sulaukė 2021 m. pradžioje, kai paskelbė apie panašų savo privatumo politikos atnaujinimą, pagal kurį vartotojai turėjo sutikti su pakeitimais, kad galėtų toliau naudotis paslauga, o tai paskatino Europos Komisiją paskelbti įspėjimą ir paraginti bendrovę aiškiai informuoti vartotojus apie savo verslo modelį.

2017 m. ES skyrė socialinės žiniasklaidos milžinei „Meta“ 110 mln. eurų baudą už neteisingos ar klaidinančios informacijos pateikimą atliekant tyrimą dėl susijungimo po to, kai 2014 m. buvo įsigyta „WhatsApp“.

Ignoruojamas tinkamas ir privalomas naudotojo sutikimas

DPC pateiktame skunde teigiama, kad „WhatsApp“ privertė vartotojus sutikti su pakeitimais, nustatydama jiems sąlygą toliau naudoti programinę įrangą. Taigi vartotojai turėjo sutikti su savo asmens duomenų tvarkymu vien tam, kad atidarytų programėlę ir galėtų ja naudotis.

Tai pažeidžia BDAR 7 straipsnio 32 konstatuojamąją dalį, pagal kurią reikalaujama, kad naudotojo sutikimas turi būti duotas laisvai, konkrečiu, informuotu ir nedviprasmišku pagrindu, be spaudimo, įtakos ar elementų, dėl kurių duomenų subjekto sprendime atsiranda disbalansas.

Atlikusi išsamų tyrimą, DPC padarė išvadas, kad „WhatsApp Ireland“ aiškiai nenurodė teisinio pagrindo ar aiškių priežasčių, dėl kurių prašoma tvarkyti naudotojo duomenis, o tai pažeidžia BDAR 12 ir 13 straipsnius. Ekspertai tiegia, kad įmonė nepažeidė 7 straipsnio dėl priverstinio sutikimo, nes tarnyba nesirėmė naudotojo sutikimu teikdama savo paslaugą ar naudodama jį kaip teisėtą pagrindą tvarkyti naudotojo asmens duomenis.

Dėl pirmojo punkto papildomų nuobaudų nebus, nes DPC jau skyrė dideles baudas „WhatsApp“ dėl tų pačių priežasčių. Kalbant apie antrąjį punktą, DPC atmetus Vokietijos duomenų subjekto kaltinimus byla nesibaigia, nes dabar skundą nagrinės ir Vokietijos priežiūros institucija.

5,5 mln. eurų bauda skirta dėl konkretaus BDAR 6 straipsnio, kuris apibrėžia duomenų tvarkymo teisėtumo pažeidimus, pagal kurį reikalaujama, kad duomenų apsaugos procesai būtų skaidrūs, teisėti ir sąžiningi.