جریمه میلیون یورویی واتساپ به دلیل نقض قانون GDPR

کمیسیون حفاظت از داده‌های ایرلند (DPC[1])، واتساپ را به دلیل نقض مقررات GDPR پنج و نیم میلیون یورو جریمه کرد. علاوه بر این جریمه، به واتساپ ایرلند دستور داده شده که ظرف 6 ماه، عملیات پردازش داده خود را مطابق با این قانون تنظیم کند. این پرونده، نشان داد که بین مراجع حفاظت از داده‌های اروپا از نظر محدوده مسئولیت‌های واتساپ، اختلافات چشمگیری وجود دارد.

این جریمه مربوط به یک به‌روزرسانی در شرایط استفاده از خدمات واتساپ است که 25 می ‌2018 اعمال شده یعنی همان روزی که قانون GDPR اتحادیه اروپا اجرایی شد. این به‌روزرسانی به کاربران قبلی و جدید واتساپ اطلاع می‌داد که اگر می‌خواهند پس از قوانین جدید به خدمات واتساپ دسترسی داشته باشند، باید پس از کلیک روی گزینه «موافقت و ادامه»، رضایت خود را از شرایط جدید نشان دهند.

واتساپ ایرلند، پذیرش شرایط جدید را به منزله یک قرارداد دانسته و اینکه پردازش داده‌های کاربران، برای اجرای آن قرارداد ضروری است. این قرارداد شامل بندهایی در زمینه ویژگی‌های امنیتی و ارتقای خدمات است که بر اساس ماده 6 (1) (b) از GDPR قانونی به حساب می‌آید.

اما Max Schrems فعال حوزه حریم خصوصی معتقد است که واتساپ دسترسی به خدمات خود را مشروط به پذیرش شرایط جدید کرده بنابراین کاربران را وادار به پذیرش پردازش داده‌های خودشان کرده است.

پس از اجرای تحقیقات، DPC ایرلند به این نتیجه رسیده که واتساپ الزامات شفافیت در قانون GDPR را نقض کرده چون به صورت دقیق برای کاربران مشخص نشده که چه عملیات پردازشی روی داده‌های شخصی آنها اجرا می‌شود.

DPC جریمه‌ای برای این تحمیل‌ها در نظر نگرفته اما جریمه‌ای 225 میلیون یورویی (266 میلیون دلاری) برای نقض این تعهد و سایر تعهدات شفافیت در همان بازه زمانی در نظر گرفته است.

DPC با جنبه «رضایت اجباری» این شکایت‌ها موافق نیست و معتقد است که واتساپ ایرلند، ملزم به استفاده از رضایت کاربران به عنوان مبنای قانونی برای پردازش اطلاعات شخصی آنها نیست.

این مقامات نتیجه‌گیری کردند GDPR مانعی برای اتکای واتساپ به این ادعا که پذیرش شرایط جدید یک قرارداد است، ایجاد نمی‌کند. به این دلیل که واتساپ خدماتی را ارائه داده که شامل ارتقای سرویس و امنیت هستند.

با این حال، 6 مورد از مراجع نظارتی مربوطه که DPC ایرلند پیش‌نویس تصمیم خودش را طبق قانون GDPR برای آنها ارسال کرده، با این جنبه از قضاوت مخالفت کرده‌اند.

با توجه به اینکه این مراجع به توافق نرسیدند، DPC موضوعات مورد اختلاف را به هیئت حفاظت از داده‌های اروپا ([2]EDPB) ارجاع داده که با DPC در رابطه با موضوع قرارداد به اختلاف برخورد کرده است. به این ترتیب، یک جریمه اداری 5.5 میلیون یورویی برای واتساپ در نظر گرفته شد.

DPC در بیانیه خودش، مخالفتش را با دستورالعمل مجزای EDPB برای اجرای بررسی‌های جدید روی روش‌های پردازش داده توسط واتساپ ایرلند اعلام کرده از جمله برای دسته‌هایی خاص از داده‌های شخصی.

DPC بر این باور است که این حرکت خارج از اختیارات EDPB است و اینکه «EDPB این اختیار را ندارد که به یک مرجع اعلام کند که در بررسی‌های بی پایان و گمانه‌زنی‌ها شرکت کند».

DPC اعلام کرده که ممکن است در دادگاه عدالت اتحادیه اروپا اقامه دعوی کند تا «ستورالعمل EDPB را کنار بگذارد».

این حکم تازه‌ترین حکم از سری احکامی است که توسط DPC ایرلند، برای شرکت مادر واتساپ یعنی متا در نظر گرفته شده است. این احکام عبارت بودند از یک جریمه 405 میلیون یورویی (402.2 میلیون دلاری) برای شیوه کار با داده‌های کودکان در سپتامبر 2022 و جریمه 265 میلیون یورویی (275 میلیون دلاری) برای عدم حفاظت از اطلاعات شخصی 533 میلیون کاربر که در آوریل 2021 افشا شد.

در ژانویه 2023 شرکت متا اعلام کرد که برای جریمه 390 میلیون یورویی (413 میلیون دلاری) مربوط به شیوه پردازش اطلاعات شخصی کاربران، درخواست تجدیدنظر صادر می‌کند.

[1] Data Protection Commission

[2] European Data Protection Board

منبع: infosecurity-magazine