RODO: 225 mln euro kary dla WhatsApp

Pod koniec sierpnia 2021 r. irlandzki organ nadzorczy (ION) wydał decyzję o użyciu szeregu uprawnień naprawczych, w tym m.in. administracyjnej kary pieniężnej, w stosunku do irlandzkiej spółki WhatsApp w związku z naruszeniami przepisów RODO.

Sprawa rozpoczęła się w maju 2018 roku i jednym z głównych czynników inicjujących postępowanie wyjaśniające były skargi osób dotyczące przetwarzania danych osobowych przez WhatsApp.  W postępowanie prowadzone przez ION włączyły się organy z innych krajów członkowskich, których sprawa dotyczyła (w tym m.in. francuski CNIL, polski PUODO). W celu zapewnienia spójności stosowania i interpretacji przepisów RODO Europejska Rada Ochrony Danych (EROD) wydała wiążącą decyzję w sprawie (w trybie art. 65 ust. 1 lit. a, RODO). Po uwzględnieniu decyzji EROD, ION wydał ostateczną decyzję nakładając na WhatsApp m.in. kary finansowe.

Transparentność

Postępowanie administracyjne nakierowane było przede wszystkim na weryfikację przetwarzania danych w kontekście zasad przejrzystości przetwarzania danych osobowych.

Jedną ze spornych kwestii było ustalenie czy numer telefonu osoby niebędącej użytkownikiem aplikacji WhatsApp jest daną osobową w rozumieniu RODO. Należy zaznaczyć, że WhatsApp przetwarza numery telefonów użytkowników, a także przetwarza (jeżeli użytkownik udzieli dostępu do własnej listy kontaktów) numery telefonów osób z listy kontaktów użytkownika aplikacji.  Co do zasady każde przetwarzanie danych osobowych wymaga przekazania osobom, których dane dotyczą określonych informacji, także jeżeli dane pozyskiwane są od innych osób.

ION po wnikliwej analizie uznał, biorąc pod uwagę okoliczności i możliwości użycia takiego numeru telefonu, że numer telefonu nieużytkownika jest daną osobową w rozumieniu przepisów RODO i może prowadzić do identyfikacji osoby fizycznej.

Kary

W związku z wykrytymi poważnymi naruszeniami ION nałożył kary pieniężne za poszczególne naruszenia:

  • 90 mln EUR: za naruszenie zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO),
  • 30 mln EUR: za naruszenie zasad informowania osób, których dane dotyczą (art. 12 RODO),
  • 105 mln EUR: za naruszenie obowiązków informacyjnych w odniesieniu do osób, których dane dotyczą (art. 13-14 RODO).

Ponadto ION udzielił upomnienia i nakazał w ciągu 3 miesięcy od otrzymania decyzji dostosowanie operacji przetwarzania do zgodności z przepisami RODO.

Źródło: Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation (IN-18-12-2)