A EU általános adatvédelmi rendeletének, a GDPR-nak 2018. május 25-i hatálybalépését követően az Ír Adatvédelmi Bizottsághoz számos egyéni panasz érkezett a WhatsApp Ireland Ltd szolgáltatásaival és annak adatfeldolgozási tevékenységével kapcsolatban. Ezen túlmenően a Bizottságot a GDPR 61. cikke alapján a Német Szövetségi Adatvédelmi Hatóság is megkereste kölcsönös segítségnyújtás keretében.
A megkeresés az adatkezelők átláthatósági kötelezettségét érintette, a WhatsApp és a Facebook (Meta) különböző vállalatai közötti személyes adatok esetleges megosztásával összefüggésben. A WhatsApp-al szemben lefolytatott eljárást, annak hátterét és kimenetelét a KNP LAW ügyvédi iroda foglalja össze az alábbiakban.
A rekordbírságot eredményező eljárás előzményei
A Bizottság az eljárása során az alábbi kérdéseket vizsgálta:
(1) Átláthatóság követelménye a nem felhasználók tekintetében: a WhatsApp milyen mértékben kezel személyes adatokat a szolgáltatás nem felhasználóival kapcsolatban, illetve az ilyen adatkezelések alapján a WhatsAppnak meg kell-e felelnie a GDPR 14. cikkében meghatározott információk érintettek részére történő rendelkezésre bocsátásának és 12. cikk (1) bekezdése szerinti átlátható tájékoztatás követelményének;
(2) Átláthatóság követelménye a felhasználók tekintetében: a WhatsApp milyen mértékben tesz eleget a GDPR 13. cikke és 12. cikkének (1) bekezdése szerinti átláthatósági és tájékoztatási kötelezettségeinek a szolgáltatás felhasználóira vonatkozó személyes adatok feldolgozásával összefüggésben;
(3) Átláthatóság követelménye a személyes adatoknak a WhatsApp és a Facebook (Meta)-vállalatok közötti bármilyen megosztásával összefüggésben: a WhatsApp milyen mértékben tesz eleget a GDPR 13. cikke és 12. cikkének (1) bekezdése szerinti átláthatósági és tájékoztatási kötelezettségeinek a személyes adatok vállalatok közötti megosztása esetén;
(4) A jogszerűség, tisztességes eljárás és átláthatóság elvének való megfelelés mértéke: a WhatsApp milyen mértékeben tesz eleget a GDPR 5. cikk (1) bekezdés a) pont szerinti általános elveknek, a jogszerűségnek, a tisztességes eljárás elvének és átláthatóságnak.
A Bizottság eljárása során úgy ítélte meg, hogy a vállalat megsértette a GDPR rendelkezéseit a WhatsApp szolgáltatásainak felhasználói, valamint a nem felhasználói tekintetében, továbbá megállapította, hogy a vállalat nem nyújtott megfelelően egyértelmű, átlátható, illetve elégséges tájékoztatást a feldolgozási tevékenységeiről. A Bizottság az indokolásában arra is kitért, hogy a WhatsApp nem azonosította kellő részletességgel az egyes adatkezelési tevékenységek jogalapját sem.
Az ügy tárgyában hozott határozattervezetet a WhatsApp adatfeldolgozási tevékenységeinek határokon átnyúló jellege miatt a GDPR által előírt együttműködési és egységességi mechanizmusnak megfelelően más érintett felügyeleti hatóságok is felülvizsgálták. A Bizottság határozattervezete ellen 8 másik uniós szabályozó hatóság – többek között a magyar, német, lengyel, francia és holland – emelt kifogást. A GDPR vitarendezési eljárásra vonatkozó rendelkezéseinek megfelelően, a kifogásaikat az Európai Adatvédelmi Testület (EDPB) elé terjesztették, miután a Bizottság nem jutott konszenzusra az érintett felügyeleti hatóságokkal.
Az EDPB beavatkozása és döntése
Az EDPB kijelentette, hogy az adatkezelésre irányuló konkrét érdeket minden egyes releváns adatkezelési tevékenységre vonatkozóan meg kell határozni, ugyanis csak így biztosítható, hogy az érintettek gyakorolhassák a GDPR szerinti jogaikat. Az EDPB azt is megállapította, hogy a WhatsApp által elkövetett mulasztások súlyossága, átfogó jellege és hatása a GDPR 5. cikke (1) bekezdésének a) pontja szerinti átláthatóság elvének megsértését eredményezte.
A Bizottság által eredetileg javasolt 30-50 millió eurós bírság tekintetében az EDPB megállapította, hogy a mértéke több szempontból sem megfelelő. Indokolásában kifejtette, hogy a bírság kiszabásánál a Facebook (Meta) mint anyavállalat forgalmát kellett volna figyelembe venni. Ugyanis, az Európai Unió Bíróságának versenyjogi ítélkezési gyakorlata kimondja, hogy több különböző vállalkozás együttesen egyetlen gazdasági egységet alkothat, ha a vállalkozások egyike képes döntő befolyást gyakorolni a többi vállalkozás piaci magatartására, mint például, amikor egy anyavállalat százszázalékos tulajdonosa leányvállalatának. Az EDPB azt is megállapította, hogy az árbevétel a bírság összegének kiszámítása szempontjából is releváns, hiszen a GDPR 83. cikk (5) bekezdése szerint a rendeletet megszegő vállalkozások az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő bírsággal sújthatók. Az EDPB felhívta a figyelmet arra is, hogy minden bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie, így a forgalom figyelembevétele elengedhetetlen. Az EDPB tisztázta továbbá, hogy amennyiben ugyanazon vagy egymással összefüggő adatkezelési tevékenységek keretében több jogsértést követtek el, akkor a vonatkozó bírság kiszámításakor valamennyi ilyen jogsértést figyelembe kell venni, még akkor is, ha a teljes bírság nem haladhatja meg a legsúlyosabb jogsértésre meghatározott összeget.
Végezetül, az EDPB rendelkezéseit figyelembe véve, több mint 3 éven át tartó vizsgálat után, a Bizottság 2021. szeptember 2-án bejelentette, hogy 225 millió eurós bírságot szab ki a WhatsApp ellen, mert nem teljesítette a GDPR 12-14. cikkében foglalt átláthatósági követelményeket, továbbá elrendelte, hogy 3 hónapon belül összhangba kell hoznia az adatkezelési tevékenységeit a GDPR rendelkezéseivel. Ennek keretében a WhatsAppnak frissítenie kell a felhasználók és a nem felhasználók számára készült adatvédelmi tájékoztatóit úgy, hogy azok tartalmazzák a GDPR 13. és 14. cikkében előírt információkat, valamint tisztázniuk kell azt a kérdést is, hogy a felhasználók hogyan nyújthatnak be panaszt a felügyeleti hatósághoz a vállalat adatfeldolgozási tevékenységeivel kapcsolatban.
A WhatsApp álláspontja és fellebbezése
A történtekre reagálva, Declan McGrath SC, a WhatsApp képviselője úgy nyilatkozott, hogy a büntetések aránytalanságára hivatkozva fellebbezni kíván az ítélet ellen. Állítása szerint, a Bizottság által kiszabott bírság büntetőjogi szankciót jelent, mértéke pedig a WhatsApp alkotmányos tulajdonjogába való beavatkozásnak minősül, ezáltal a döntés maga is alkotmányellenes.
Mindezek mellett a vállalat arra hivatkozik, hogy a 2018-as Adatvédelmi törvény (Data Protection Act 2018) nem biztosít teljes körű újratárgyalást vagy fellebbezési jogot a Bizottság megállapításaival kapcsolatban, hiszen a törvényben szereplő korlátozott fellebbezési eljárás csak a közigazgatási bírság megtámadását teszi lehetővé. Ennek eredményeképp, a törvény egyes szakaszai sértik az Emberi Jogok Európai Egyezményének (továbbiakban: EJEE) 6. cikkét is, amely kimondja, hogy mindenkinek joga van ahhoz, hogy a törvény által létrehozott független és pártatlan bíróság ésszerű időn belül tisztességes és nyilvános tárgyalást tartson. Ennek megfelelően a WhatsApp, a bírósági felülvizsgálati eljárásában a bírságról szóló határozat megsemmisítését kéri, valamint annak megállapítását, hogy a 2018-as Adatvédelmi törvény egyes rendelkezései érvénytelenek és alkotmányellenesek. Továbbá a vállalat az Európai Unió Bírósága előtt is meg kívánja támadni az EPDB utasítását.
A fellebbezés kapcsán számos aggály merül fel. Lehetséges, hogy az adatvédelmi hatóság eltért az európai adatvédelmi normáktól, amikor a különálló adatvédelmi jogsértésekért kiszabott bírságokat összeadta, ahelyett, hogy a legsúlyosabb jogsértésért szabott volna ki büntetést. Az is kérdéses, hogy az érintett felügyelő hatóságok követték-e a megfelelő eljárást, amikor további jogsértésekkel egészítették ki a határozatot anélkül, hogy lehetőséget adtak volna a vállalatnak a válaszadásra. A legsúlyosabb következménye a rekordbírságnak ugyanakkor az, hogy a WhatsApp adatkezelését érintő irányelvek módosítását nem lehet végrehajtani, amíg a vállalat az adatvédelmi döntés ellen fellebbezéssel él, az eljárás azonban évekig is eltarthat – foglalta össze a döntéssel kapcsolatos problémákat dr. Huszár Daniella, a KNP LAW munkatársa.
A vállalat a fellebbezés ellenére önként módosította az európai és az egyesült királyságbeli irányelvdokumentumait. A novemberben közzétett új szabályzat részletesebben tartalmazza, hogy a Meta tulajdonában lévő vállalat hogyan gyűjti és használja fel az érintettek adatait, valamint, hogy hogyan tárolja, és mikor törli azokat. A WhatsApp azt is közölte, hogy részletesebb információkkal szolgál arról, hogy miért osztja meg az adatokat határokon átnyúlóan, valamint a felhasználói adatok feldolgozásának jogalapjairól is tájékoztatást adott. Ennek ellenére, a cég kitart amellett, hogy a tényleges szolgáltatásában nem történik változás, az érintettek adatait továbbra is változatlan módon dolgozzák fel, és továbbítják, illetve nem változik a felhasználókkal kötött szerződéses megállapodás sem, így a módosítások célja csupán, hogy további részleteket adjon hozzá a meglévő gyakorlataihoz.
„Az új szabályzat azonnal hatályba lépett, az Európai Unióban és az Egyesült Királyságban élő WhatsApp-felhasználók értesítést kapnak, amely a frissített információkra irányítja őket, de más lépéseket nem kell tenniük” – zárta a KNP LAW munkatársa.