ПЕРЕКЛАД
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Ірландський наглядовий орган – Комісія з питань захисту даних 02.09.2021 р. оголосила про завершення розслідування щодо WhatsApp Ireland Ltd. Це рішення було прийняте за результатами транскордонного розслідування стосовно використання персональних даних WhatsApp.
Читайте також: "Square приєднується до Пакту про ненапад на криптовалюту за патентними позовами"
Розслідування проводили наглядові органи ЄС на чолі з ірландською комісією відповідно до механізму єдиного вікна GDPR, а також згідно з оцінкою Європейської ради із захисту даних (EDPB) у процедурі вирішення спорів. Від початку розслідування до винесення рішення минуло понад 2,5 року. Однак інтерес викликає не тільки тривалість процесу, але й те, що у процес прийняття рішення довелося втрутитися навіть EDPB (European Data Protection Board).
У центрі цього рішення – принцип прозорості, закріплений у ст. 5 (1) (а) GDPR. Ірландська Комісія вивчила політику приватності WhatsApp та практики компанії, пов'язані з використанням телефонних номерів з «телефонних книжок» своїх користувачів. Як результат, комісія виявила деякі цікаві деталі.
Легітимний інтерес і мета обробки – зовсім не одне і те саме
У політиці приватності WhatsApp зазначено, що деякі персональні дані обробляються на підставі легітимного інтересу (до того ж не лише легітимного інтересу компанії, але й інтересу її партнерів). Однак інформацію про те, хто саме може бути таким «партнером», політика не включала. Крім того, перелік легітимних інтересів був фактично організований у вигляді багаторівневого списку. Текст політики виглядав таким чином:
«До інших правових підстав, які дозволяють нам обробляти ваші персональні дані, належать:
Наші легітимні інтереси або законні інтереси третьої сторони, якщо ваші інтереси або основні права та свободи не мають більшого значення («легітимні інтереси»).
Стосовно всіх користувачів (у тому числі неповнолітніх) – для надання послуг вимірювання, аналітики та інших бізнес-послуг, коли ми обробляємо дані в ролі контролера.
Законні інтереси, на які ми покладаємося під час такої обробки, включають надання точної та надійної звітності компаніям й іншим партнерам, щоб гарантувати точне ціноутворення, надання статистичних даних про продуктивність, а також демонстрацію цінності, яку наші партнери отримують від використання наших сервісів.
В інтересах компаній та інших партнерів, щоб допомогти їм зрозуміти своїх клієнтів і поліпшити їхній бізнес, перевірити наші моделі ціноутворення, оцінити ефективність та поширення їхніх сервісів і повідомлень, а також розуміти, як люди взаємодіють з ними в наших сервісах».
Проблема цього тексту полягає в тому, що цілі обробки даних в ньому чітко не вказані, а «переплавлені» з описом легітимного інтересу, який лежить в основі відповідної обробки. В результаті складно сказати, скільки саме обробок описано в цьому фрагменті, вже не кажучи про інші деталі (наприклад, перелік відомостей, що обробляються в контексті кожної конкретної обробки).
До того ж, хоча політика приватності WhatsApp призначена також для читання неповнолітніми, наведені в політиці формулювання можуть ввести в оману навіть дорослу освічену людину. Наприклад, які дані обробляються для «демонстрації цінності, які партнери WhatsApp отримують від використання сервісів компанії», а також які «бізнес-послуги» надає WhatsApp паралельно з послугами вимірювання та аналітики? Питання є, але відповідей немає. На прозорість не схоже.
Хешування з втратами
Одним зі своїх завдань компанія WhatsApp вважає спрощення комунікації між користувачами. Уявіть, ви використовуєте месенджер, але перш ніж комусь написати, вам доводиться уточнювати у співрозмовника, чи користується він тим же месенджером. Незручно, правда? Так подумали розробники WhatsApp і впровадили функцію «рекомендації». Під час запуску програми номери телефонів з вашої телефонної книги перевіряються, шифруються (хешуються) певним чином і зберігаються на серверах компанії.
Щоразу, коли новий користувач встановлює WhatsApp, його телефонний номер (також у зашифрованому вигляді) звіряється з базою на серверах компанії. Це дозволяє WhatsApp повідомляти користувачів про те, що їхні друзі та знайомі, ймовірно, також зареєструвалися у WhatsApp. Чому «ймовірно»? Тому що через особливості шифрування один і той же шифр міг присвоюватися щонайменше 16 різними номерами, тобто під одним і тим же кодом могли бути зашифровані як знайомі користувача, так і зовсім сторонні для нього люди.
Проблема цього функціоналу полягала в тому, що компанія WhatsApp збирала та обробляла персональні дані людей, не повідомляючи їм про це (звичайно, не отримуючи їхньої згоди). Якщо у клієнта, який встановив додаток, можна випросити згоду, то як це зробити у всіх, чиї телефони записані в його телефонній книзі? Однак виправдовувати порушення складністю – не найкраща ідея. Звільнитися від відповідальності не вийде.
Крапку в спорі ставить EDPB
Цікавість рішення полягає в тому, що крапку в ньому поставив EDPB. Після завершення розслідування проєкт рішення був направлений зацікавленим наглядовим органам відповідно до ст. 60 (1) GDPR. Вісім наглядових органів надали свої висновки щодо проєкту рішення. На жаль, Комісія не погодилася з більшістю зауважень колег, тому остаточне рішення повинен був прийняти EDPB відповідно до ст. 65 (1) GDPR.
28.07.2021 р. рішення було прийняте. EDPB підтримав більшість зауважень зацікавлених органів. Дотримуючись приписів EDPB, ірландський наглядовий орган змінив проєкт рішення. 20.09.2021 р. було прийняте остаточне рішення. Штраф склав 225 млн євро (266 млн доларів). Наразі це другий за розміром штраф за порушення GDPR. Беззаперечний лідер – наглядовий орган Люксембургу, який оштрафував Amazon на 746 млн євро.
Розрахунок суми штрафу
Важливо відзначити, що обов'язкове рішення EDPB (яке тепер також опубліковане повністю) дає зрозуміти – для того щоб штраф був ефективним, пропорційним і стримуючим, консолідований обіг материнської компанії (в цьому випадку Facebook, Inc.) може включатися у глобальний обіг компанії, яка використовується для розрахунку штрафу. Крім того, EDPB надав корисні рекомендації щодо тлумачення ст. 83 (3) GDPR, в якій зазначено, що коли контролер або обробник порушує кілька положень GDPR для одних і тих самих або пов'язаних операцій обробки, сума адміністративного штрафу не повинна перевищувати суму, вказану за найсерйозніше порушення. В EDPB пояснили, що в цьому випадку необхідно враховувати всі порушення під час розрахунку суми штрафу. Наглядові органи також повинні враховувати пропорційність штрафу і дотримуватися максимальної суми штрафу, встановленої GDPR.
Остаточні примусові заходи з боку ірландського DPC
Отже, штраф у розмірі 225 млн євро, накладений ірландським DPC (також наразі найбільший з коли-небудь накладених штрафів), розподіляється таким чином:
- 90 млн євро за порушення принципу прозорості GDPR (ст. 5 (1) (a));
- 30 млн євро за порушення зобов'язань GDPR з інформування суб'єктів даних відповідно до ст. 12;
- 30 млн євро за порушення зобов'язань щодо прозорості персональних даних, отриманих безпосередньо від відповідних осіб (ст. 13);
- 75 млн євро за порушення зобов'язань щодо прозорості персональних даних, які не були отримані від суб'єктів даних (ст. 14).
До того ж WhatsApp надали три місяці для приведення своїх операцій обробки у відповідність до вимог (половина часу, наданого в первісному рішенні ірландського DPC), що включатиме інформування про прозорість відповідних користувачів, як це детально описано в рішенні ірландського DPC та резюмовано в Додаток C. Цей короткий період частково пояснюється тим фактом, що EDPB визнала порушення ст. 12, 13, 14 серйозними та вважає, що дотримання цих зобов'язань має бути забезпечено в найкоротші терміни.
Чому був залучений ірландський регулюючий орган?
В Ірландії знаходяться регіональні штаб-квартири низки великих технологічних гравців, включаючи Apple, Facebook, Google і Twitter. В результаті Комісія із захисту даних несе більшу відповідальність за дотримання GDPR.
Джерела
WhatsApp fined a record 225 mln euro by Ireland over privacy.