Cazul WhatsApp și o decizie devenită de referință

sept. 9 2021

Cu câteva zile în urmă, WhatsApp a fost sancționată de Autoritatea de Supraveghere din Irlanda cu o amendă de 225.000.000 Euro, a doua cea mai mare amendă aplicată vreodată în temeiul GDPR, pentru un cumul de încălcări ale art. 12, 13, 14 și 5 (1) lit. a, apreciate de autoritate ca fiind foarte grave.

Decizia finală a autorității de supraveghere irlandeze a fost emisă pe 20.08.2021, după ce Comitetul European pentru Protecția Datelor (EDPB) emisese anterior, pe 28.07.2021, o decizie obligatorie conform art. 65 din Regulamentul 679/2018 (Binding Decision 1/2021). A fost așadar necesară parcurgerea unei proceduri de soluționare a obiecțiilor ridicate de mai multe autorități de supraveghere cu privire la constatările pe care autoritatea irlandeză le-a făcut inițial într-o manieră mai favorabilă WhatsApp.

Sintetizăm mai jos motivele pentru care spunem că această decizie este de referință pentru clarificarea unor noțiuni și pentru impactul pe care îl va avea în abordarea unor cazuri similare de către autoritățile de supraveghere naționale:

Încălcările principiului transparenței au fost recalificate de EDPB ca fiind mai grave decât se stabilise inițial de autoritatea de supraveghere națională irlandeză. Pentru a se ajunge la această concluzie, au fost reanalizate încălcarea principiului transparenței pentru lipsa de informare cu privire la interesul legitim urmărit de operator sau de o terță parte, au fost recalificate ca fiind date cu caracter personal (DCP) mai multe date care anterior fuseseră excluse. Spre exemplu, au fost considerate date cu caracter personal datele persoanelor neînregistrate ca utilizatori ai aplicației WhatsaApp și care sunt prelucrate de WhatsApp în urma accesării de către utilizatorii aplicației a opțiunii Contact Feature. S-a considerat că informarea utilizatorilor are mai multe lipsuri, care afectează capacitatea acestora de a înțelege interesul legitim urmărit de operator, fiind astfel încălcate și prevederile art. 13 (1) lit d. din Regulament, nereținute inițial.

Din perspectivă juridică, este important de reținut că EDPB a apreciat ca fiind încălcate și prevederile art. 5 alin. 1 lit a din Regulament (care instituie principiul prelucrării legale, echitabile și transparente), chiar dacă, privite individual, încălcările art. 12, 13, 14 nu implică în mod necesar o încălcare ce ar putea intra în sfera art. 5 (1) lit. a. Gravitatea augmentată de încălcările multiple a determinat EDPB să rețină că în acest caz, în mod special, a fost încălcat principiul transparenței prevăzut de articolul 5. Dovada importanței pe care EDPB o atribuie respectării principiului transparenței, privit în acest caz în strânsă legătură cu respectarea obligației de informare corectă și completă a persoanelor vizate în cazul în care datele personale nu sunt colectate direct de la aceasta (obligație prevăzută de art. 14) este cuantumul alocat încălcării art. 5 (1) lit. a – 90.000.000 Euro urmat de 75.000.000 Euro pentru încălcarea art. 14 mai sus amintit, din totalul amenzii de 225.000.000 Euro.

EDPB a clarificat și modul de determinare a valorii amenzii aplicate și a statuat că o amendă, pentru a putea fi eficientă, proporțională și disuasivă/descurajantă, așa cum prevede art. 83(1) din Regulament, trebuie stabilită prin raportare nu doar la cifra de afaceri a operatorului sancționat (în acest caz WhatsApp), ci în raport de cifra de afaceri cumulată a acestuia și a companiei mamă, Facebook.

Tot prin decizia obligatorie adoptată în iulie, este pentru prima dată în jurisprudența EDPB când acesta dă o interpretare prevederilor art. 83 (3) din Regulament în sensul că “atunci când au loc mai multe încălcări pentru aceeași operațiune de prelucrare sau pentru prelucrări aflate în legătură toate încălcările trebuie să fie luate în considerare la determinarea valorii amenzii”, autoritățile de supraveghere urmând a face aplicarea acestei interpretări în stabilirea amenzilor cu respectarea celorlalte două principii – cel al proporționalității amenzii și al valorii maxime a acesteia stabilite prin Regulament.

În privința termenului de conformare, EDPB a apreciat că termenul de 6 luni stabilit inițial de autoritatea irlandeză este mult prea mic față de gravitatea încălcărilor și față de necesitatea de conformare în cel mai scurt timp posibil cu obligația de asigurare a transparenței.

Decizia finală emisă de autoritatea de supraveghere irlandeză poate fi consultată aici: (https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions_en)

Decizia obligatorie emisă de EDPB poate fi consultată aici: https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf .

Similare

Alis Patlageanu 0 Comments

Cookie	Durată	Descriere
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.