WhatsApp ukarany karą pieniężną w wysokości 5,5 mln euro w następstwie wiążącej decyzji Europejskiej Rady Ochrony Danych.
Komisja Ochrony Danych (DPC) jest niezależnym krajowym organem odpowiedzialnym za przestrzeganie prawa osób fizycznych do ochrony danych osobowych. DPC jest irlandzkim organem nadzorczym w zakresie ogólnego rozporządzenia o ochronie danych (RODO). Pełni funkcje i uprawnienia związane z innymi ważnymi ramami regulacyjnymi, w tym irlandzkimi przepisami o prywatności i łączności elektronicznej.

EROD uznała, że platforma WhatsApp IE niewłaściwie oparła się na umowie

Platforma WhatsApp IE została ukarana przez irlandzki organ nadzorczy (Data Protection Commission) administracyjną karą pieniężną w wysokości 5,5 mln euro w następstwie wiążącej decyzji Europejskiej Rady Ochrony Danych w sprawie rozstrzygania sporu z dnia 5 grudnia 2022 r.
EROD uznała, że platforma WhatsApp IE niewłaściwie oparła się na umowie, jako podstawie prawnej przetwarzania danych osobowych. W konsekwencji EROD poleciła irlandzkiemu organowi nadzorczemu uwzględnić naruszenie art. 6 ust. 1 RODO oraz naruszenie zasady rzetelności z art. 5 ust. 1 lit. a) RODO.

Artykuł 6 ust. 1 RODO

1.Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

EROD poleciła DPC zmienić projekt decyzji, tak aby spełniała wymogi zgodności z prawem przetwarzania danych i zasady rzetelności oraz przewidzianych w projekcie środków naprawczych.

Zasady ochrony danych osobowych

Organ nadzorczy musi przeprowadzić postępowanie

Ponadto Europejska Rada Ochrony Danych zdecydowała, że organ nadzorczy musi przeprowadzić postępowanie w sprawie operacji przetwarzania danych przez WhatsApp IE. Postępowanie ma sprawdzić, czy przetwarza ona szczególne kategorie danych osobowych oraz czy dane są przetwarzane na potrzeby reklamy behawioralnej lub w celach marketingowych. Kolejne to  zbadanie czy celem przetwarzania było dostarczenie metryk z danymi osobom trzecim i wymiany danych ze spółkami powiązanymi w celu poprawy usług.
W odniesieniu do środków naprawczych EROD zwróciła się do DPC o zawarcie w decyzji nakazu doprowadzenia przez WhatsApp IE do zgodności przetwarzania danych osobowych z przepisem art. 6 ust. 1 RODO w celu poprawy jakości usług, w kontekście Warunków Świadczenia Usług w określonym terminie oraz zawarcie naruszeń tego przepisu w podstawach nałożenia administracyjnej kary pieniężnej. 

Gotowa “Polityka bezpieczeństwa” do pobrania

Ostateczna decyzja przyjęta przez irlandzki organ nadzorczy jest dostępna w Rejestrze decyzji przyjmowanych przez organy nadzorcze i sądy w sprawach rozpatrywanych w ramach mechanizmu spójności.