کمیسیون حفاظت از داده های ایرلند (DPC[1]) واتس اپ را به دلیل نقض مقررات GDPR پنج و نیم میلیون یورو جریمه کرد. علاوه بر این جریمه، واتساپ ایرلند نیز موظف شد عملیات پردازش دادههای خود را در مدت ۶ ماه با قانون مطابقت دهد.. این مورد نشان داد که تفاوت های قابل توجهی بین مقامات حفاظت از داده های اروپایی در مورد دامنه مسئولیت های WhatsApp وجود دارد.
این جریمه مربوط به بهروزرسانی شرایط خدمات واتساپ است که در 25 می 2018، همان روزی که GDPR اتحادیه اروپا اجرایی شد، اجرا شد. این به روز رسانی به کاربران فعلی و جدید واتس اپ اطلاع می دهد که در صورت تمایل به دسترسی به خدمات واتس اپ پس از قوانین جدید، باید با کلیک بر روی گزینه «موافق و ادامه» با شرایط جدید موافقت کنند.
واتساپ ایرلند پذیرش شرایط جدید را یک قرارداد میداند و پردازش اطلاعات کاربران برای اجرای این قرارداد ضروری است. این توافقنامه حاوی بندهایی در خصوص ویژگیهای امنیتی و بهبود خدمات است که طبق ماده 6(1)(b) GDPR قانونی تلقی میشوند.
اما مکس شرمز، فعال حریم خصوصی معتقد است واتس اپ دسترسی به خدمات خود را منوط به پذیرش شرایط جدید کرده است و در نتیجه کاربران را مجبور به پذیرش پردازش داده های خود کرده است.
پس از انجام تحقیقات، DPC ایرلند به این نتیجه رسید که واتساپ الزامات شفافیت GDPR را نقض کرده است، زیرا به کاربران توضیح نمیدهد دقیقاً چه عملیات پردازشی روی دادههای شخصی آنها انجام شده است.
DPC برای این اجراها جریمه ای اعمال نکرد، اما برای نقض این و سایر تعهدات شفافیت در همان دوره جریمه 225 میلیون یورویی (266 میلیون دلار) تعیین کرد.
DPC با جنبه “رضایت اجباری” این شکایات مخالف است و معتقد است واتس اپ ایرلند ملزم به استفاده از رضایت کاربران به عنوان مبنای قانونی برای پردازش اطلاعات شخصی آنها نیست.
مقامات به این نتیجه رسیدند که GDPR مانع از تکیه واتس اپ به ادعای خود مبنی بر اینکه پذیرش شرایط جدید یک قرارداد است، نمی شود. این به این دلیل است که WhatsApp خدماتی را ارائه می دهد که شامل ارتقاء خدمات و امنیت می شود.
با این حال، شش تن از مقامات نظارتی مربوطه که DPC ایرلند پیش نویس تصمیم GDPR خود را برای آنها ارسال کرد، با این جنبه از تصمیم مخالفت کردند.
با توجه به اینکه این مقامات به توافق نرسیدند، DPC موضوعات مورد مناقشه را به هیئت حفاظت از داده های اروپا (EDPB) ارجاع داد.[2]EDPB) نشان داده است که در مورد موضوع قرارداد با DPC اختلاف وجود دارد. بدین ترتیب جریمه اداری 5.5 میلیون یورویی برای واتس اپ در نظر گرفته شد.
در بیانیه خود، DPC مخالفت خود را با دستورالعمل های جداگانه از EDPB برای انجام بازرسی های جدید از شیوه های پردازش داده واتس اپ ایرلند، از جمله برای دسته های خاصی از داده های شخصی، ابراز کرد.
DPC حکم داد که این حرکت خارج از صلاحیت EDPB است و “EDPB این قدرت را ندارد که به یک مقام دستور دهد تا در تحقیقات و گمانهزنیهای بیپایان شرکت کند”.
DPC اعلام کرده است که ممکن است برای “لغو دستورالعمل EDPB” به دیوان دادگستری اتحادیه اروپا اقدام قانونی کند.
این حکم آخرین مورد از یک سری محکومیتهایی است که توسط DPC ایرلند علیه شرکت مادر واتساپ Meta صادر شده است. این احکام شامل جریمه 405 میلیون یورویی (402.2 میلیون دلاری) برای پردازش داده های کودکان در سپتامبر 2022 و جریمه 265 میلیون یورویی (275 میلیون دلاری) برای محافظت نکردن از اطلاعات شخصی 533 میلیون کاربر است که در آوریل 2021 افشا شده اند.
در ژانویه 2023، متا اعلام کرد که برای جریمه 390 میلیون یورویی (413 میلیون دلار) مربوط به نحوه رسیدگی به اطلاعات شخصی کاربران تجدید نظر خواهد کرد.
[1] کمیسیون حفاظت از داده های شخصی
[2] هیئت حفاظت از داده های اروپا
منبع: infosecurity-magazine