WhatsApp idømt en bøde på 5,5 millioner euro af irsk DPC for GDPR-overtrædelse
Den irske databeskyttelseskommission (DPC) har idømt WhatsApp Ireland en bøde på 5,5 millioner euro (42 millioner kroner) efter at have bekræftet, at beskedtjenesten overtrådte den generelle databeskyttelsesforordning (GDPR).
Myndigheden har beordret WhatsApp til at bringe sine databehandlingsoperationer i overensstemmelse inden for seks måneder, ellers står den over for en ny bøde.
Den 25. maj 2018 indledte DPC en undersøgelse af en potentiel overtrædelse af forordningen af WhatsApp efter en klage fra en tysk registreret.
Samme dag opdaterede WhatsApp sine servicevilkår og bad alle EU-baserede brugere om at acceptere ændringerne ved at klikke for at få adgang til appens hovedgrænseflade.
Ignoreret brugersamtykke
Klagen, der blev indgivet til DPC, hævdede, at WhatsApp tvang brugerne til at acceptere ændringerne ved at gøre det til en betingelse at fortsætte med at bruge softwaren. Derfor måtte brugerne give samtykke til behandlingen af deres personlige data bare for at åbne appen.
Dette er i strid med artikel 7, betragtning 32, i GDPR, som kræver, at brugersamtykke skal gives frit og på et specifikt, informeret og utvetydigt grundlag uden pres, indflydelse eller elementer, der skaber ubalance i den registreredes beslutning.
Efter en omfattende undersøgelse konkluderede DPC følgende:
WhatsApp Ireland skitserede ikke klart retsgrundlaget eller de udtrykkelige årsager til den anmodede behandling af brugerdata, hvilket er i strid med artikel 12 og 13 i GDPR.
WhatsApp Ireland har ikke overtrådt artikel 7 på grund af tvunget samtykke, fordi tjenesten ikke var afhængig af brugerens samtykke til at levere sin tjeneste eller bruge den som et lovligt grundlag for behandling af personlige brugerdata.
Det første punkt vil ikke medføre yderligere sanktioner, fordi DPC allerede har afsonet store bøder til WhatsApp af de samme grunde.
“DPC, der allerede har pålagt WhatsApp Ireland en meget betydelig bøde på 225 millioner euro for overtrædelser af denne og andre gennemsigtighedsforpligtelser i samme periode, foreslog ikke pålæggelse af yderligere bøder eller korrigerende foranstaltninger, idet den allerede havde gjort det i en tidligere undersøgelse,” lyder begrundelsen for beslutningen.
Hvad angår det andet punkt, afslutter DPC’s afvisning af den tyske registreredes påstande ikke sagen, da den tyske tilsynsmyndighed nu også vil gennemgå klagen.
Bøden på 5,5 millioner euro til WhatsApp Ireland pålægges på grund af en overtrædelse af artikel 6 i GDPR om “lovlighed af behandling”, som kræver gennemsigtighed, lovlighed og retfærdighed i databeskyttelsesprocesser.
Derudover vil DPC iværksætte en ny undersøgelse, der dækker alle WhatsApps behandlingsoperationer i sin tjeneste for at afgøre, om der er overtrædelser af artikel 9 i GDPR om “behandling af særlige kategorier af personoplysninger.”
Datatilsynet ønsker at afgøre, om WhatsApp indsamler og behandler følsomme data til adfærdsmæssige reklame- og markedsføringsformål, og om disse data også deles med tredjeparter.
WhatsApp informerer om, at det planlægger at appellere beslutningen, da det mener, at dets tjeneste fungerer på en juridisk kompatibel måde. Nedenfor er den fulde kommentar modtaget fra en WhatsApp-talsmand vedrørende DPC’s beslutning:
WhatsApp har ført branchen inden for private beskeder ved at levere ende-til-ende-kryptering og lag af privatliv, der beskytter mennesker. Vi er overbeviste om, at den måde, tjenesten fungerer på, er både teknisk og juridisk kompatibel.
Vi er afhængige af den kontraktmæssige nødvendighed af serviceforbedring og sikkerhedsformål, fordi vi mener, at det er et grundlæggende ansvar at hjælpe med at holde folk sikre og tilbyde et innovativt produkt i driften af vores service. Vi er uenige i afgørelsen, og vi agter at appellere.
Kilde: BleepingComputer
Foto: Pexels
