کمیسیون حفاظت از دادههای ایرلند (DPC[1])، واتساپ را به دلیل نقض مقررات GDPR پنج و نیم میلیون یورو جریمه کرد. علاوه بر این جریمه، به واتساپ ایرلند دستور داده شده که ظرف 6 ماه، عملیات پردازش داده خود را مطابق با این قانون تنظیم کند. این پرونده، نشان داد که بین مراجع حفاظت از دادههای اروپا از نظر محدوده مسئولیتهای واتساپ، اختلافات چشمگیری وجود دارد.
این جریمه مربوط به یک بهروزرسانی در شرایط استفاده از خدمات واتساپ است که 25 می 2018 اعمال شده یعنی همان روزی که قانون GDPR اتحادیه اروپا اجرایی شد. این بهروزرسانی به کاربران قبلی و جدید واتساپ اطلاع میداد که اگر میخواهند پس از قوانین جدید به خدمات واتساپ دسترسی داشته باشند، باید پس از کلیک روی گزینه «موافقت و ادامه»، رضایت خود را از شرایط جدید نشان دهند.
واتساپ ایرلند، پذیرش شرایط جدید را به منزله یک قرارداد دانسته و اینکه پردازش دادههای کاربران، برای اجرای آن قرارداد ضروری است. این قرارداد شامل بندهایی در زمینه ویژگیهای امنیتی و ارتقای خدمات است که بر اساس ماده 6 (1) (b) از GDPR قانونی به حساب میآید.
اما Max Schrems فعال حوزه حریم خصوصی معتقد است که واتساپ دسترسی به خدمات خود را مشروط به پذیرش شرایط جدید کرده بنابراین کاربران را وادار به پذیرش پردازش دادههای خودشان کرده است.
پس از اجرای تحقیقات، DPC ایرلند به این نتیجه رسیده که واتساپ الزامات شفافیت در قانون GDPR را نقض کرده چون به صورت دقیق برای کاربران مشخص نشده که چه عملیات پردازشی روی دادههای شخصی آنها اجرا میشود.
DPC جریمهای برای این تحمیلها در نظر نگرفته اما جریمهای 225 میلیون یورویی (266 میلیون دلاری) برای نقض این تعهد و سایر تعهدات شفافیت در همان بازه زمانی در نظر گرفته است.
DPC با جنبه «رضایت اجباری» این شکایتها موافق نیست و معتقد است که واتساپ ایرلند، ملزم به استفاده از رضایت کاربران به عنوان مبنای قانونی برای پردازش اطلاعات شخصی آنها نیست.
این مقامات نتیجهگیری کردند GDPR مانعی برای اتکای واتساپ به این ادعا که پذیرش شرایط جدید یک قرارداد است، ایجاد نمیکند. به این دلیل که واتساپ خدماتی را ارائه داده که شامل ارتقای سرویس و امنیت هستند.
با این حال، 6 مورد از مراجع نظارتی مربوطه که DPC ایرلند پیشنویس تصمیم خودش را طبق قانون GDPR برای آنها ارسال کرده، با این جنبه از قضاوت مخالفت کردهاند.
با توجه به اینکه این مراجع به توافق نرسیدند، DPC موضوعات مورد اختلاف را به هیئت حفاظت از دادههای اروپا ([2]EDPB) ارجاع داده که با DPC در رابطه با موضوع قرارداد به اختلاف برخورد کرده است. به این ترتیب، یک جریمه اداری 5.5 میلیون یورویی برای واتساپ در نظر گرفته شد.
DPC در بیانیه خودش، مخالفتش را با دستورالعمل مجزای EDPB برای اجرای بررسیهای جدید روی روشهای پردازش داده توسط واتساپ ایرلند اعلام کرده از جمله برای دستههایی خاص از دادههای شخصی.
DPC بر این باور است که این حرکت خارج از اختیارات EDPB است و اینکه «EDPB این اختیار را ندارد که به یک مرجع اعلام کند که در بررسیهای بی پایان و گمانهزنیها شرکت کند».
DPC اعلام کرده که ممکن است در دادگاه عدالت اتحادیه اروپا اقامه دعوی کند تا «ستورالعمل EDPB را کنار بگذارد».
این حکم تازهترین حکم از سری احکامی است که توسط DPC ایرلند، برای شرکت مادر واتساپ یعنی متا در نظر گرفته شده است. این احکام عبارت بودند از یک جریمه 405 میلیون یورویی (402.2 میلیون دلاری) برای شیوه کار با دادههای کودکان در سپتامبر 2022 و جریمه 265 میلیون یورویی (275 میلیون دلاری) برای عدم حفاظت از اطلاعات شخصی 533 میلیون کاربر که در آوریل 2021 افشا شد.
در ژانویه 2023 شرکت متا اعلام کرد که برای جریمه 390 میلیون یورویی (413 میلیون دلاری) مربوط به شیوه پردازش اطلاعات شخصی کاربران، درخواست تجدیدنظر صادر میکند.
[1] Data Protection Commission
[2] European Data Protection Board
منبع: infosecurity-magazine