Компанія WhatsApp отримала штраф у розмірі 225 мільйонів євро від ірландського наглядового органу. 266-сторінковий ірландський бриф автора Хелен Діксон (Helen Dixon) заслуговує на увагу і є повчальним. Окрім ґрунтовного аналізу процесів у WhatsApp, він містить численні висновки, в тому числі щодо захисту даних.
Оновлення 08.09.2025
Викривач (колишній керівник служби безпеки WhatsApp Аттаулла Баїг) подав до суду на Meta за ігнорування вразливостей безпеки.
Обвинення в корені згідно з Джерело:
- Тисячі співробітників Meta/WhatsApp мають доступ до конфіденційних даних користувачів (фотографії профілю, місцезнаходження, контакти)
- Понад 100 000 акаунтів зламують щодня без адекватних контрзаходів
- Відмова від запропонованих виправлень безпеки
- Переслідування та звільнення після попереджень керівництву Мета
Бейг стверджує, що ФТК порушила угоду про конфіденційність 2019 року та закони про цінні папери. Він також повідомив про це FTC і SEC.
Вступ
Нижче наведені описи та текстові excerps у формі скріншотов стосуються офіційного звіту Ірландської комісії з захисту даних від 20 серпня 2021 року. Основною мотивацією проведення розслідування було детальне висвітлення подій. Багато посилань та описи показують досить вражаюче, яким чином відбувався шлях розслідування. Вислідки, що виникли з цього, дуже примітні. Серед іншого мова йде про питання щодо
- Обов'язок надавати інформацію,
- вказівка одержувачів даних,
- відповідальність
- ідентифікація осіб,
- персональну прив'язку даних та
- розмір штрафу.
Гріхи Мета: https://dr-dsgvo.de/meta
Хто хоче знати чому ірландська комісія з захисту даних використовує термін piecemeal fashion та що він означає, повинен лише уявити собі яким чином WhatsApp надає інформацію. Так можна швидко дійти висновку щодо „хлібцями“, слова яке не зустрічається в GDPR і тому ймовірно також не дозволене при виконанні обов'язків щодо надання інформації. Цей спосіб подачі обов'язкових повідомлень здається, поряд із Facebook, навіть Google вибрав як тактику уникнення виконання законодавчих вимог протягом можливо довших термінів.
Наступне твердження досить часто можна зустріти в дослідженні Хелен Діксон, автора документа, в якому була проведена оцінка захисту даних WhatsApp.
It is clear that WhatsApp and I fundamentally disagree …
Часто вживана заява Хелен Діксон у її звіті як голови Ірландського органу з питань захисту даних.
Автор пише про це, коли WhatsApp дав відповідь на запитання наглядового органу, яка не здалася головному слідчому обґрунтованою. Facebook тепер відомий як Meta. Я не відстежував цю зміну назви тут.
Хеш-значення як персональні дані?
Загалом у процесі проти WhatsApp досліджується, як користувачі, які можливо не використовують WhatsApp, будуть піддані обробці даних згідно із законодавством про захист даних. Коли новий користувач реєструється в WhatsApp, його контакти в адресній книзі повідомляються про це. Це відбувається після згоди користувача, але ймовірно не відповідає вимогам GDPR. Цих користувачів у адресній книзі нового користувача називають Не користувачі. Повідомлення надсилається невидимо через спілкування з застосунком WhatsApp і не відбувається видимого повідомлення на рівні операційної системи, за моїми відомостями.
Нотифікація для Non-Users відбувається таким чином: у каталозі шукається, чи вже цей користувач був повідомлений. Для захисту даних не зберігається його номер телефону в каталозі, а лише хеш-значення. Цей процес називається Lossy Hashing. Кому цікаво знати, як працює ця хеш-праця, можна знайти наступну інформацію.
Вотавіт здійснює цей хеш-значення для номерів телефонів, щоб повідомляти інших користувачів Вотавіту про так званий Contact Feature, коли новий користувач приєднається до Вотавіту (Рн. 44h). Причина використання хешування також розглядається.
На основі хеш-значення, ймовірно, неможливо зробити висновки про конкретного користувача. Натомість, можна зробити висновки лише про групу з 16 різних користувачів.
Для цього мені слід зауважити, що в рішенні OGH (Австрія) від 18.02.2021 року (Наказ 6 Ob 127/20z) також були розцінені вірогідними висловлюваннями щодо уподобань осіб як особисті дані, якщо наявність особи була встановлена до того, як зроблені були такі заяви.
Ідентифікація особи
Інтересна річ — розуміння статті, яку цитує місіс Діксон із Стаття 29 Working Party ЄС, який навіть згадується в Art. 94 GDPR. Ця група вважає, що людина вважається ідентифікованою тоді, коли вона відрізняється від іншої групи людей. Це висловлено у так званій Opinion 4/2007 групи.
Ідентифікаємільність як критерій для наявності особистих даних згадується в Статті 4, п. 1 ДЗП. У обгрунтуванні 26 вказуються додаткові дані.
Є необхідність, щоб конкретно на людину було відгукнулося, так що наприклад, „жорстке“ особисте дата, як IP-адреса, ім'я, адреса або номер автомобільного номера існувало. Натомість достатньо того, щоб людина була визнана однією людиною і відрізнялася від інших людей.
Це саме такий концепт Web Tracking. Для Google та інших не дуже важливо, хто саме за цим користувачем стоїть, який зараз відвідує вебсторінку. Більше того, хочуть вони знати, чи це користувач 4711 або інший, щоб використовувати його Нutzerprofil. Поки що відомо про користувача 4711, що він жінка, слухає важкий метал, та часто купує грецькі спеціалітети онлайн.
Хоча не можна прямо зробити висновок, що певна особа в групі людей має на увазі саме цю людину, може бути можливість ідентифікації особи. Це висловлює Стаття 29 Working Party.
Конкретно це означає, що навіть додаткова інформація, яка не має бути наявною, але яку можна було б отримати або якої очікується наявність найближчим часом, повинна бути врахована. Це аналогічне до рішення ЄСПВ щодо IP-адрес.
В Рн. 60 та 61 продовжується виконання того, що вже встановив ЄСПЛ. Тобто дані вважаються особистими згідно ст. 4 п.1 ДЗГВ, навіть якщо вони не можуть бути прямо і не через відповідальну особу зв'язані з людиною.
Довідка 26 містить рісикоорієнтований підхід до оцінки, чи дані є особистими (Рн. 79). Це також вказується в рішенні Брейєра ЄСПЛ щодо IP-адрес (Рн. 85). У рішенні Брейєра вказується, що наявність особистого зв'язку вважається встановленою (якщо використовуються ідентифікатори, такі як IP-адреса чи щось інше), якщо ризик ідентифікації насправді не можна відкинути (Рн. 46).
У Recital 26, серед іншого, зазначено:
Щоб визначити, чи можна ідентифікувати фізичну особу, слід враховувати всі засоби, які можуть бути використані контролером або іншою особою для прямої чи опосередкованої ідентифікації фізичної особи, наприклад, виокремлення.
Витяг зі статті 26 GDPR.
В подальшій частині повідомляється про те, що наявна на час обробки технологія та технічні розробки повинні бути враховані. У цьому контексті WhatsApp підозрюється у тому, що шляхом використання відомої телефонної номера Non-Users можна здійснити пошук інтернет або соціальних мереж для встановлення його особистості (Rn. 83 c).
Відомо порівняння значення хешу WhatsApp від Non-Users із рішенням ЄСПЛ щодо IP-адрес (Rn. 70 і 95). Пані Діксон стверджує, що значення хешу для Non-User разом з його телефонним номером, який зберігався лише протягом дуже короткого часу в пам'яті, є особистими даними (Rn. 66 та 110). Телефонний номер також вважається особистими даними нею після перетворення на значення хеша.
Високопрофесійний підхід полягає в тестируванні припущення, що телефонна номера Non-Users не є особистими даними (Rn.89). Результатом цього було б те, що ця телефонна номера могла би оброблятися без обмежень. Це здається абсурдним і тому не можна вважати правдивим, підтверджуючи особистий зв'язок (Rn. 90f). Інший підхід до цієї ідеї веде через Art. 33 GDPR. Там згадується обов'язок повідомляти про порушення захисту особистих даних у орган з нагляду. Таке повідомлення було б неможливим, якщо дані, які стосуються питання, не були б особистими (Rn. 94). Також стверджується, що WhatsApp має можливість контролювати дизайн програми і встановлювати відповідні механізми безпеки. Тут я називаю Art. 25 GDPR як посилання.
Є достатньо лише наявності Можливостей до ідентифікації осіб, а не важливо чи відповідальний може або хоче використовувати ці можливості (Rn. 95). Вірогідність ідентифікації ніяк не грає ролі.
Обробка даних номера телефону користувача, який не є користувачем відбувається у наступних етапах (Рн. 103):
- Доступ до номера через WhatsApp
- Перенесення номера на сервери WhatsApp
- Викладання значення Lossy-Hash із номера
- Безповоротне видалення номера
Хоча номер було знищено назавжди після дуже короткого часу, він вважається особистим. Виведення як збереження номеру з можливою інформацією вважається важливим видом обробки даних (to collect = вивести, Рн. 103). Чи WhatsApp справді видаляє номер чи лише стверджує про це – інша справа.
Існування обробки даних не залежить від часових обмежень. Навіть дані, які доступні лише протягом надзвичайно короткого періоду часу, де-факто є обробленими.
Відповідно до п. 104 там само.
Надалі здійснюється виконання того, що Non-User хоча й спочатку є неідентифікованою особою з групи багатьох людей. Але метою є звернути увагу на індивідуального Non-User і зробити його Користувач, що передбачає попередню ідентифікацію (Rn. 92).
Фрау Діксон погоджується, що функція WhatsApp для визнання контактів у своєму адресному книзі які також користуються WhatsApp є корисною. Але навпаки вона теж помічає, що WhatsApp сам від цього виграє (Рн. 93). Звідти виникає відповідальність.
Далі це стає складовим, тому я лише коротко зупинюся на цьому. З огляду на нові дані від WhatsApp відбувається порівняння користувачів за допомогою нового значення хешу, відомого як Notification Hash, а не за допомогою попередньо обговореного Lossy Hash. Ірландія та Європейський комісар із захисту даних не погодилися щодо питання особистості Non-User номера телефону після його хешивання. Комісар наказав Ірландії згідно з Стаття 65 § 6 GDPR змінити своє рішення і визнати особистість (Rn. 106ff).
Що таке контролер?
Є відповідальність, яка виникає з фактичних обставин і не з формальних (Rn. 119f). Концепція відповідального є функціональним поняттям. Для визначення використовуваних середств мають бути поставлені як організаційні, так і технічні питання, як стверджує Opinion 1/2010. Хто визначає мети, фактично відповідає за них (Rn. 121). Це стосується, наприклад, визначення строку зберігання даних або можливості доступу.
Відповідальність також може бути визначена тим, хто ініціював процес або чому він відбувається (п. 122 c).
Щоб визначити, чи існує відповідальність, можна провести тест за різними критеріями. Саме це пропонує Хелен Діксон.
В основному особливість концепції ролі відповідального полягає в тому, що вона призначає відповідальність (Rn. 116). Тут також посилання на Opinion 1/2010 групи Стаття 29. За цим слідує те, що відповідальність виникає тоді, коли організація прийняла рішення обробляти дані для власних цілей.
Важливими питаннями для визначення відповідальності є (п. 141):
- Які дані слід обробляти?
- Як довго зберігатимуться дані?
- Хто повинен мати доступ до даних?
Ці питання мають бути відповідані з точки зору осіб, які за ними відповідають, для цього підходить розширена точка зору на відповідальність (Rn. 139).
Наявність місця, де обробляються дані особистого характеру, збільшує шанси того, що місце відповідає за обробку даних (порівн.: Рн. 145 c).
Якщо орган не вказує або вказує неточно, як довго зберігатимуться дані, це збільшує ймовірність того, що орган є контролером (див. п. 145 d), оскільки суб'єкт даних не має на це суттєвого впливу, а отже, не несе за це відповідальності.
Той, хто визначає, хто має доступ до даних, несе за них відповідальність або збільшує ймовірність того, що він буде контролером обробки даних (див. пункт 145 e).
Те саме стосується і визначення засобів (п. 145 f).
Після всього цього і ще більше, Гелен Діксон вважає WhatsApp відповідальним, а не підрядником (Рн. 154).
Інформаційні зобов'язання відповідальних осіб
З огляду на комплементарність Статті 13 ДЗП та Статті 14 ДЗП, жінка Діксон бачить особливу важливість обов'язку щодо надання інформації для осіб, які перебувають під впливом відповідальних осіб (Розділ 173). Вона навіть ще більш виразно бачить зобов'язання щодо надання інформації, навіть у зв’язку з Статті 15 п. 1 та 2 ДЗП, як основу ("підмурбок"), на якій розташовуються інші права осіб, які перебувають під впливом (Розділ 174). Тому лише тоді людина може зрозуміти, чи і яким чином оброблялися або будуть оброблені її дані.
Інформація про обробку даних, яку надає WhatsApp, була розглянута щодо її обсягу (Рн. 195). Для цього навіть був визначений приблизний обсяг у сторінках DIN A4. Також було визначено частка кожного окремого документа (Умови використання, повідомлення про захист даних тощо) від загального обсягу у відсотках.
Виявлено, що посилання на важливе документ із текстом посилання типу «Дізнайся більше» не досить помітне (Rn. 196f). Формат окремих документів був критично оцінений (Rn. 198f) та порівняно з ст. 12 абз. 1 ДЗПВ. Так само була розглянута необхідність scrolling довгого тексту (близько Rn. 204). WhatsApp навіть визнав, що існує потреба у вдосконаленні надання обов'язкових відомостей після проведення дослідження (Rn. 215f).
У Rn. 224 відзначено, що маркетові умови або певні поведінкові особливості щодо ДЗП для окремих сегментів ринку немає значення. Аргумент «всі роблять так само» не діє. Цей вигаданий аргумент зустрів мене останнім раз у захисті від однієї з учасниць процесу. Процес, в якому я міг допомогти як фахівець суду, ще триває.
Надмірна надання загальних та недостатнє надання конкретної інформації видається несприятливим щодо ДЗПВ (Рн. 226).
Починаючи з Rn. 329, жінка Діксон пояснює, які інформацію надає WhatsApp у якій формі та розглядає посилання на додаткові документи. З Rn. 332 документи критикуються за їх структуру і спосіб надання. Також підкреслюється наявність змістових дупліків та відсутність прикладів або нечіткої мови в деяких місцях. Як наслідок бачиться рисико заплутаності та непрозорості (Rn. 336).
Усе це можна підсумувати наступним чином:
The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.
Rn. 337 дн.
Цей підхід можна також застосувати до багатьох та нечітких документів Google, які виникають при використанні інструментів Google, таких як Google reCAPTCHA, Google Maps або Google Tag Manager. Я чекаю наступного більшого штрафу, який надії на те, що він буде отриманий Google. Причина була б Chrome Browser. ([1]) ([2]) ([3]) ([4])
Аб Рн. 345 встановлено, що WhatsApp не досить оцінив категорії оброблюваних даних.
У Рн. 355 використовується слово "Cliffhanger", яке я згадував у своєму попередньому повідомленні під назвою "piecemeal":
The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].
п. 355, там само.
Вважалося, що вказані в WhatsApp інформаційні повідомлення про захист даних мають такий вигляд, що не можна побачити червоний нитка, навіть окремий загальний текст (розділ 356), зокрема "Користувач не повинен мати багато роботи для доступу до призначеної інформації". Я хотів би звернути цю звинувачення до Google. З огляду на ірландське місце розташування, але швидше всього краще буде звернутися проти відповідальних осіб з Німеччини, які не можуть нічого іншого зробити, як безвідповідально використовувати послуги Google або ідеально бажано розуміти висловлювання Google та мені протягом місяця пояснити (Стаття 12.3 ДЗНП).
У всіх своїх оглядах заяв WhatsApp Хелен Діксон регулярно зазначає, що WhatsApp і вона "принципово не згодні". Зрештою, це коштує їй штрафу, хоча і не болючого для Facebook.
Вказівка одержувачів
За згодою стаття 13 п.1 e GDPR та стаття 14 п.1 e GDPR, одержувачі або категорії одержувачів даних мають бути названі, щоб виконувати інформаційні обов'язки згідно з статті 12 GDPR. Група статті 29 цитується тут жінкою Діксон (Рн. 426).
Група пише, що імена одержувачів, як правило, повинні бути вказані, оскільки це зазвичай найбільш значуща інформація, на яку має право суб'єкт даних. Людина повинна мати можливість знати, хто отримав або повинен отримати її дані.
Якщо ви називаєте категорії реципієнтів, це має бути зроблено якомога точніше. Це також включає в себе назву видів діяльності кожної категорії реципієнтів.
Я особисто вважаю, що вже при запитанні про інформацію згідно зі ст. 15 п. 1 ч. с ДЗСВ необхідно вказувати конкретних одержувачів. У особливому порядку це стосується ситуації, коли особа, яка має право на захист даних, цього прямо бажає. Ці одержувачі повинні бути відомими відповідальному суб'єкту. Конкретному запитанню про інформацію можна відмовити лише тоді, коли існують підстави для невідання імен окремих одержувачів. Окрім домовленості щодо нерозголошення тощо мені важко уявити багато інших можливостей. У згаданому вище статті 15 я вказав кілька джерел, які підтримують мої думки. ([1])
Вказівка терміну зберігання
За згодою ст. 5 абз. 1 c та e ДЗПВ застосовуються принципи мінимізації даних та ограничення зберігання даних. У цьому контексті повинні виконуватися обов'язки щодо інформації (ст. 13 абз. 2 a ДЗПВ). Зокрема, для оцінки наявності законного інтересу важливим є термін зберігання даних. Стаття 29 Working Party цитується наступним чином:
It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.
Витяг з п. 468.
За цим слід робити такі вказівки щодо тривалості зберігання такою точною, як тільки можливо. У розділі 469 вказується, що ці дані повинні бути важливими інформаціями ("meaningful information"), з яких читач зможе щось зрозуміти.
У Rn. 482 підтверджується, що WhatsApp в окремих місцях змогла виконати вимоги згідно зі статтею 13 ДЗП (Rn. 482), зокрема щодо пояснення права на інформацію. Однак при менш простих вимогах, таких як Умови надання згоди, знову ж таки щось негативне було встановлено (Rn. 496).
Автоматизована вирішення після Статья 13 Пункт 2 f відбувається відповідно до Розділ 524 на WhatsApp немає місця.
Обмін даними з іншими компаніями Facebook
Частина 3 документа розглядає питання прозорості обміну даними користувачів між WhatsApp та іншими компаніями Facebook. Окремі текстові уривки з політики конфіденційності WhatsApp ретельно аналізуються на предмет відповідності GDPR. Цитування цих уривків є однією з причин великого обсягу документа пані Діксон, хоча численні дискусії також сприяли його збільшенню.
Пані Діксон зазначає, що компанії Facebook, з якими WhatsApp ділиться даними, недостатньо названі (п. 577). WhatsApp вважає, що це нормально, оскільки GDPR не вимагає цього (параграф 581), або було б достатньо, якби цю інформацію можна було знайти деінде в будь-яких загальнодоступних джерелах.
У Rn. 591f офіційно встановлено, що WhatsApp провалив демонстрацію обміну даних з іншими компаніями Facebook. Крім того, місіс Діксон підкріплює WhatsApp, зняти сумнівні попередження щодо захисту даних, якщо WhatsApp не планує обмінюватися даними зі іншими компаніями Facebook.
Прозорість обробки
У частині 4 документів обговорюються питання прозорості обробки даних (Rn. 593ff). При цьому головним чином мова йшла про концепцію прозорості, яку назвала місіс Діксон та інформаційні зобов'язання згідно зі статтями 12, 13 та 14 РДПВ. ([1])
EDPB вважає цей концепт прозорості таким, яким він не був визначений у Договірі про захист даних ЄС, але все ж таки існував (Rn. 188). Ірландію було обіграно Європою і їй довелося звинуватити WhatsApp за порушення статті 5 абз. 1 Договору про захист даних ЄС.
Визначення штрафу
Дивлячись на частину 5, яка розглядає можливість накладення штрафу, я зупинюся тут на подробицях. Вона охоплює досить багато сторінок. На кінці EDPB вимагає від ірландської влади призначити вищу罰у ніж запропонував (Rn. 807).
Ірландська комісія з захисту даних хотіла спочатку призначити штраф у розмірі лише 50 мільйонів євро. Апеляція інших європейських національних комісій, зокрема Німеччини, призвела до збільшення цього штрафу до 225 мільйонів євро. Можливо, саме тому Ірландія призначила такий малий штраф, оскільки французька комісія з захисту даних CNIL призначила таке ж велике покарання Google за використання французької пошукової системи google.fr (Рн. 809ff).
Якщо ви хочете дізнатися, скільки доходів принесли Facebook (США) і WhatsApp (Ірландія), ви можете знайти відповідь тут:
Зрештою, оборот був настільки великим, що штраф не перевищував 2 або 4% від цієї суми. Ось (більш свіжа) статистика, яка допомагає оцінити обороти:
Сума штрафу складається з декількох платежів, які були обґрунтовані наступним чином.
Стаття 5, абз. 1 ДЗП зобов'язує обробку персональних даних «на законній підставі, з довірчою і чесною метою та в такий спосіб, який дозволяє особі зрозуміти, яким чином її дані будуть використовуватися». Це здається не вдавалося здійснити WhatsApp.
Стаття 12 GDPR містить положення про зобов'язання надавати прозору інформацію суб'єктам даних, які, як видається, були злочинно порушені WhatsApp.
Стаття 13 GDPR стосується інформації для обробки даних, які були оброблені у суб'єкта даних. Тут також були прогалини у WhatsApp.
Стаття 14 ДЗП аналогічна статті 13 ДЗП, лише що мова йде про дані, які не оброблялися у особі, щодо якої вони стосуються. Тут особливо слід згадати процес повідомлення Non-Users, який реалізований за допомогою методу хешування, який на перший погляд не відповідає вимогам захисту даних.
Висота штрафу була кілька раз критикувана, адже для Facebook цей розмір здається досить низьким. Я підозрюю, що економічний вигід для Facebook від даних обробок, які були встановлені порушенням, був набагато вищим. У будь-якому разі це майже золоте цінність маркетингово, коли реєстрація нового користувача призводить до того, що всі користувачі в його адресній книзі фактично експлуатуються.
Заключні зауваження
Висновки та міркування, наведені в документі Хелен Діксон, безумовно, варто прочитати. Вони наштовхують на цікаві ідеї та висновки. Однак, як мінімум, вони показують, як може проходити офіційне розслідування. Наприклад, перераховані розслідування, проведені самою владою, на які відреагував WhatsApp. Потім це призвело до висновків співробітника ("особи, яка приймає рішення"), які, в свою чергу, були проаналізовані самою головною слідчою, яка також взяла до уваги відповіді WhatsApp.
Аргумент Хелен Діксон базується на тому, що я вважаю послідовним виведенням. Чи є відповідне судження конкретно хорошим чи поганим, правильним чи неправильним, доречним чи упередженим – це вже інше питання.
У будь-якому випадку, аргументація значною мірою орієнтована на відповідні керівні принципи та висновки, такі як висновки Робочої групи за статтею 29, попередниці EDPB.
Я згоден з Хелен Діксон в одному важливому моменті: Особа вважається ідентифікованою, якщо її можна відрізнити від інших людей. Це думка Групи "Стаття 29".
Також цікаво
- Норвезький орган захисту даних проти Grindr. Лист норвежців, що пояснює їхнє рішення накласти мільйонний штраф, займає 68 сторінок. Стиль написання та структура повністю відрізняються від документа WhatsApp.
Основні тези цієї статті
WhatsApp був оштрафований на 225 мільйонів євро за порушення правил захисту даних, зокрема, при обміні даними користувачів з іншими компаніями.
Навіть якщо хеш-значення не ідентифікує особу безпосередньо, воно все одно може вважатися персональними даними, якщо використовується для ідентифікації особи в групі людей.
Навіть якщо номер телефону не пов'язаний безпосередньо з особою, його все одно можна вважати персональними даними, оскільки за ним можна ідентифікувати особу.
WhatsApp обробляє телефонні номери, навіть якщо вони будуть видалені, щоб ідентифікувати користувачів і показувати їм рекламу.
Той, хто обробляє дані та визначає, хто має до них доступ, несе відповідальність за дотримання Загального регламенту захисту даних (GDPR).
Політика конфіденційності WhatsApp і Google заплутана і складна для розуміння користувачами.
WhatsApp має бути більш прозорим щодо того, які дані він передає, кому і як довго вони зберігаються.
WhatsApp був оштрафований на 225 мільйонів євро за відсутність прозорості у використанні та передачі даних іншим компаніям Facebook.
Орган нагляду за захистом даних критикує Facebook (WhatsApp) за невідповідні практики захисту даних при повідомленні не-користувачів і вважає штраф занадто низьким.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
