Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.

Jetzt testen

sofort das Ergebnis sehen

DSGVO Website-Check

WhatsApp (Facebook): Kontekst i ustalenia dotyczące grzywny w wysokości 225 mln euro nałożonej przez irlandzki organ ochrony danych

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

WhatsApp otrzymał grzywnę w wysokości 225 milionów euro od irlandzkiego organu nadzorczego. 266-stronicowy irlandzki brief autorstwa Helen Dixon jest wart przeczytania i pouczający. Oprócz dobrze uzasadnionej analizy procesów w WhatsApp, zawiera liczne wnioski, w tym dotyczące ochrony danych.

Aktualizacja 08.09.2025

Informator (były szef bezpieczeństwa WhatsApp Attaullah Baig) pozywa Metę za ignorowanie luk w zabezpieczeniach.

Obelgi wobec Kernów wynikają z Źródło:

  • Tysiące pracowników Meta/WhatsApp ma dostęp do poufnych danych użytkowników (zdjęcia profilowe, lokalizacje, kontakty)
  • Ponad 100 000 kont hakowanych każdego dnia bez odpowiednich środków zaradczych
  • Odrzucenie proponowanych poprawek zabezpieczeń
  • Działania odwetowe i zwolnienia po ostrzeżeniach skierowanych do kierownictwa Mety

Baig zarzuca naruszenie umowy o ochronie prywatności FTC z 2019 r. i przepisów dotyczących papierów wartościowych. Powiadomił również FTC i SEC.

Wprowadzenie

Poniższe opisy i cytaty w formie screenshotów odnoszą się do oficjalnego raportu irlandzkiej Komisji ds. Ochrony Danych z dnia 20.08.2021. Motywacją dla przeprowadzenia badania była szczegółowość opisu. Liczne referencje i opisy pokazują w sposób bardzo wrażliwy, jak przebiegał proces badawczy. Uzyskane wyniki są niezmiernie interesujące. M.in. chodzi o pytania dotyczące

  • Obowiązek udzielania informacji,
  • określenie odbiorców danych,
  • odpowiedzialność
  • identyfikowalność osób,
  • osobiste odniesienie do danych i
  • kwota grzywny.
Grzechy Mety: https://dr-dsgvo.de/meta

Kto chce wiedzieć dlaczego irlandzki organ nadzorujący ochronę danych osobowych używa pojęcia piecemeal fashion i co ono znaczy, musi tylko przypuszczać, jak WhatsApp udostępnia informacje. W ten sposób można szybko dojść do „häppchenweise”, słowa, które nie występuje w RODO i zatem prawdopodobnie nie jest dopuszczalne, jeśli obowiązującego prawa ochrony danych osobowych.

Poniższe stwierdzenie można znaleźć dość często w badaniu Helen Dixon, autorki dokumentu, w którym przeprowadzono ocenę ochrony danych WhatsApp.

It is clear that WhatsApp and I fundamentally disagree …

Często używane stwierdzenie Helen Dixon w jej raporcie jako szefa irlandzkiego organu ochrony danych.

Autor pisze to, gdy WhatsApp udzielił odpowiedzi na pytania organu nadzorczego, które nie wydawały się ważne dla głównego śledczego. Facebook jest teraz znany jako Meta. Nie śledziłem tutaj tej zmiany nazwy.

Wartość Hash jako dane osobowe?

W ogólnych ramach procesu przeciwko WhatsApp badana jest możliwość kontaktowania się z użytkownikami, którzy nie korzystają z aplikacji, w kwestiach ochrony danych osobowych. Kiedy nowy użytkownik rejestruje się na WhatsApp, jego znajomi z listy kontaktów są powiadomieni o tym faktu. To prawdopodobnie następuje po uzyskaniu zgody, ale nie jest to zgodne z przepisami RODO. Użytkownicy z listy kontaktów nowego użytkownika WhatsApp są tam określani jako Osoby niebędące użytkownikami. Powiadomienie odbywa się w sposób niewidoczny za pomocą komunikacji z aplikacją WhatsApp, a nie poprzez widoczną powiadomienie na poziomie systemu operacyjnego, o ile wiem.

Powiadomienie Non-Users odbywa się w ten sposób, że w katalogu sprawdzany jest, czy użytkownik został już powiadomiony. Aby chronić dane osobowe, nie przechowywana jest jego numer telefonu w katalogu, ale zamiast tego przechowywany jest wartość hashowana. Ten proceder nazywa się Lossy Hashing. Ktoś, kto chce poznać więcej o tym algorytmie haszowania, znajdzie poniższe informacje.

Algorytm haszujący WhatsApp dla numerów telefonów (margines nr 34).

WhatsApp wprowadza ten hash-wartość dla numerów telefonów, aby poinformować innych użytkowników WhatsApp o tzw. Feature Contact, gdy nowy użytkownik dołączy do aplikacji (Rn. 44h). Powód wykorzystania hash jest również omawiany.

Rn 40.

Na podstawie wartości hash prawdopodobnie nie da się wyciągnąć wniosków na temat konkretnego użytkownika. Zamiast tego powinno być możliwe wyciągnięcie wniosków na temat grupy 16 różnych użytkowników.

Rn. 42

Do tego odniesienie mam do wyroku OGH (Austria) z dnia 18 lutego 2021 r. (sygnatura sprawy 6 Ob 127/20z), w którym również deklaracje prawdopodobieństwa preferencji osób zostały uznane za dane osobowe, pod warunkiem, że istnieje związek z osobą przed złożeniem deklaracji.

Identyfikowalność osoby

Ciekawe jest zrozumienie przez panią Dixon cytowanej Grupy Pracy nr 29 Unii Europejskiej, która nawet w Art. 94 RODO została wymieniona. Ta grupa uważa to tak samo jak yes:Osoba jest identyfikowalna*, jeśli może być od innych osób odróżniana. To wyrażono w tzw. Opinii nr 4/2007 tej grupy.

ust. 52 (cytat wtórny, w tym miejscu oszczędzam sobie cytowania oryginalnego źródła, "Opinii 4/207 Grupy Roboczej Art. 29 ds. Ochrony Danych").

Tekst źródłowy: Die Identyfikowalność jako kryterium für das Vorliegen dane osobowe is in Art. 4 Nr. 1 RODO genannt. Der Erwägungsgrund 26 nennt weiteres. Tłumaczenie: Oznaczalność jako kryterium dla występowania danych osobowych jest wymieniona w [5]Art. 4 pkt 1 RODO[6]. W uzasadnieniu nr 26 podaje się dalsze.

Nie jest więc wymagane, aby można było konkretnie na osobę odpowiedzieć, tak żeby np. "twardy" datownik osobisty jak adres IP, imię, adres pocztowy lub numer rejestracyjny samochodu był dostępny. Wystarczy zatem, aby można było rozpoznać jedną osobę i od innych ją odróżnić.

To jest również konceptem Web Tracking. Nie interesuje Google i spółka bardziej, kto dokładnie stoi za użytkownikiem, który aktualnie odwiedza stronę internetową. Zamiast tego Google lub reklamodawca chce wiedzieć, czy ten użytkownik to użytkownik 4711 albo inny, aby móc wykorzystać jego profil użytkownika. Ponieważ dla użytkownika 4711 jest znane, że jest kobietą, słucha Heavy Metalu i kupuje online greckie specjały.

Chociaż nie można bezpośrednio na to wnioskować, że określona osoba w grupie osób jest przeznaczona dla nich, może istnieć identyfikowalność osoby. To wyraził Article 29 Working Party.

Konkret to znaczy według mojego zrozumienia, że również dodatkowe informacje, które nie są dostępne muszą być rozpatrzone, ale mogą zostać uzyskane lub będą dostępne wkrótce. Jest to analogicznie do orzeczenia Trybunału Sprawiedliwości Unii Europejskiej dotyczącego adresów IP.

W Rn. 60 i 61 kontynuowana jest realizacja tego, co już orzekł Trybunał Sprawiedliwości Unii Europejskiej. Tym mianem danych należy uważać za dane osobowe zgodnie z art. 4 pkt 1 RODO, nawet jeśli nie można ich bezpośrednio i przez administratora odnosić do osoby.

Podstawą rozważań nr 26 jest podchodzący do ryzyka sposób oceny, czy dane są dotyczące osób fizycznych (pkt 79). Ten sam podejście można znaleźć w wyroku Breyer w sprawie adresów IP (pkt 85). W wyroku Breyer stwierdzono, że należy przyjąć, iż dane są dotyczące osób fizycznych (jeśli użyto identyfikatora takiego jak adres IP lub coś innego), jeśli ryzyko zidentyfikowania osoby nie może być w praktyce pominięte (pkt 46).

Motyw 26 stanowi między innymi:

Aby ustalić, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszystkie środki, które mogą być wykorzystane przez administratora lub inną osobę do bezpośredniej lub pośredniej identyfikacji osoby fizycznej, takie jak wyodrębnienie.

Fragment motywu 26 RODO.

Dalej mówi się tam, że dostępna w momencie przetwarzania technologia i postępy technologiczne powinny być brane pod uwagę. W tym kontekście WhatsApp jest oskarżany o to, że przy pomocy znanej numeru telefonu jednego Non-Users mogłyby być przeprowadzone poszukiwania w internecie lub mediach społecznościowych, aby ustalić jego tożsamość (Rn. 83 c).

Zrobiono porównanie wartości hash z WhatsApp dla Non-Users z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej dotyczącym adresów IP_ (Rn. 70 i 95). Pani Dixon stwierdziła, że wartość hash dla Non-Usera wraz z jego numerem telefonu, który jest dostępny tylko przez bardzo krótki czas w pamięci, stanowi dane osobowe (Rn. 66 i 110). Numer telefonu został również uznany za dane osobowe przez nią po przekonwertowaniu go na wartość hash.

Interesujący jest podejście, testowo odchodząc od założenia, że numer telefonu użytkownika Non-Users nie stanowi danych osobowych (Rn. 89). Konsekwencją byłoby to, że taki numer mógłby być przetwarzany bez ograniczeń. Wydaje się to absurdalne i dlatego należy uznać, że dane te są osobowe (Rn. 90f). Inny podejście do tej wiedzy prowadzi przez Art. 33 RODO. Tam jest wymieniona obowiązność zgłaszania przekroczenia ochrony danych osobowych do organu nadzorczego. Zgłoszenie to nie byłoby możliwe, gdyby dane te nie były osobowe (Rn. 94). Ponadto stwierdza się, że WhatsApp ma kontrolę nad projektem aplikacji i może zatem ustalić bezpieczne mechanizmy. Tutaj odwołuję się do Art. 25 RODO.

Jest wystarczająco, że istnieją Opcje identyfikacji osób i nie jest ważne, czy ktoś odpowiedzialny może lub chce z nich skorzystać (Rn. 95). Prawdopodobieństwo identyfikacji w tym przypadku nie odgrywa roli.

Przetwarzanie danych numeru telefonowego osoby, która nie jest użytkownikiem (Non-Users), odbywa się w następujących krokach (Rn. 103):

  1. Dostęp do numeru przez WhatsApp
  2. Przeniesienie numeru na serwery WhatsApp
  3. Utworzenie wartości Lossy-Hash z numeru
  4. Bezpowrotne usunięcie numeru

Chociaż numer zostaje usunięty nieodwołalnie po krótkim czasie uważa się go za związany z konkretną osobą. Zbieranie (collect) numera jako sposób przechowywania danych jest uznawane za istotny (to collect = zbierać, Rn. 103). Czy WhatsApp rzeczywiście usuwa numer lub tylko o tym mówi to inna sprawa.

Przetwarzanie danych nie zależy od ograniczeń czasowych. Nawet dane, które są dostępne tylko przez bardzo krótki czas, są de facto przetwarzane.

Zgodnie z ust. 104 ibid.

Dalej przeprowadza się analizę, że Non-User jest początkowo niezidentyfikowaną osobą z grupy wielu ludzi. Celem jest jednak skierowanie indywidualnego Non-Usera na Usera, co wymaga wcześniejszej identyfikacji (Rn. 92).

Pani Dixon zgadza się, że funkcja WhatsApp pozwalająca rozpoznać, które kontakty w swoim adresie mailowym są użytkownikami WhatsApp jest przydatna. Z drugiej strony stwierdza jednak, że WhatsApp sam z tego korzysta (Rzecznik 93). Z tego wynika odpowiedzialność.

Dann staje się to skomplikowane, dlatego tu tylko krótko wstąpię. Z powodu prawdopodobnie nowych informacji od WhatsApp odbywa się dopasowanie użytkowników przy użyciu nowego wartości haszującej, Notification Hash, a nie przy pomocy dotychczas omawianego Lossy Hash. Irlandia i Europejski Komitet ds. Ochrony Danych Osobowych były wtedy niesławnie zgodne co do kwestii odniesienia się do osoby posiadającej numer telefonu niezwiązany z użytkownikiem po hashowaniu. Komitet nakazał Irlandii, zgodnie z art. 65 ust. 6 RODO, poprawienie swojej opinii i przyjęcie odniesienia się do osoby (Rn. 106ff).

Co to jest kontroler?

Odpowiedzialność wynika z faktów i nie z formalnych okoliczności (Rn. 119f). Pojęcie odpowiedzialnego jest pojęciem funkcjonalnym. Aby określić wykorzystane środki, należy postawić zarówno pytania organizacyjne, jak i techniczne, tak postuluje Opinion 1/2010. Kto ustala cele, jest faktycznie odpowiedzialny (Rn. 121). To dotyczy np. określania długości przechowywania danych lub dostępu do nich.

To, kto jest odpowiedzialny, można również ustalić na podstawie tego, kto zainicjował proces lub dlaczego proces ma miejsce (par. 122 c).

Aby ustalić, czy odpowiedzialność istnieje, można przeprowadzić test na podstawie różnych kryteriów. To właśnie sugeruje Helen Dixon.

W szczególności koncepcja roli odpowiedzialnego cechuje się tym, że przypisuje ona odpowiedzialność (Rn. 116). Tutaj również odwołano się do Opinion 1/2010 Grupy Art. 29 (Rn. 118). Zgodnie z tym, odpowiedzialność powstaje wtedy, gdy dana strona podjęła decyzję o przetwarzaniu danych dla własnych celów.

Ważnymi kwestiami dla ustalenia odpowiedzialności są (ust. 141):

  • Które dane powinny być przetwarzane?
  • Jak długo dane będą przechowywane?
  • Kto powinien mieć dostęp do danych?

Te pytania powinny być odpowiedzią dla osób dotkniętych, widok rozszerzony na odpowiedzialność jest tutaj stosowny (Rn. 139).

Zdecydowanie praca, która będzie przetwarzała dane osobowe, zwiększa szanse, że ta stacja jest odpowiedzialna (porównaj Rn. 145 c).

Jeśli organ nie określi lub nie określi dokładnie, jak długo dane będą przechowywane, zwiększa to prawdopodobieństwo, że organ jest administratorem danych (zob. motyw 145 d), ponieważ osoba, której dane dotyczą, nie ma wtedy na to znaczącego wpływu, a zatem nie ponosi za to odpowiedzialności.

Ktokolwiek określa, kto ma dostęp do danych, jest za nie odpowiedzialny lub zwiększa szansę na bycie administratorem przetwarzania danych (patrz motyw 145 e).

To samo dotyczy określenia środków (ust. 145 lit. f)).

Po wszystkim i więcej, Helen Dixon uważa WhatsApp za odpowiedzialną i nie jako podwykonawcę (Rzeczniczka 154).

Obowiązki informacyjne osób odpowiedzialnych

W związku z komplementarnością Art. 13 RODO i Art. 14 RODO Pani Dixon widzi szczególną znaczenie dla obowiązku informacyjnego dotyczącego osób, których dane są przetwarzane przez podmioty odpowiedzialne (Rn. 173). Widzi nawet to jeszcze bardziej wyraźnie i uważa, że obowiązki informacyjne, również w związku z Art. 15 ust. 1 i 2 RODO, są podstawą ("fundamentem"), na którym opierają się prawa osób dotkniętych (Rn. 174). Ponieważ tylko wtedy osoba, której dane są przetwarzane, może zrozumieć, czy i jak jej dane były lub będą przetwarzane.

Informacje obligatoryjne dotyczące przetwarzania danych, które WhatsApp udostępnia, zostały wzięte pod uwagę pod względem ich zakresu (Rn. 195). Dla tego nawet zakres w stronach DIN A4 został oszacowany. Także został oszacowany udział każdego dokumentu (warunki korzystania, informacje o ochronie danych itp.) w ogólnym zakresie w postaci procentowej.

Zostało stwierdzone, że linkowanie do ważnego dokumentu z linkiem takim jak "Dowiedz się więcej" nie wystarcza (Rn. 196f). Format poszczególnych dokumentów został skrytycznie oceniony (Rn. 198f) i porównany z Art. 12 § 1 RODO. Tak samo została poddana krytyce konieczność przesuwania się w dół dłuższego tekstu (np. Rn. 204). WhatsApp przyznał nawet, że istnieje potrzeba poprawy dostarczania informacji obowiązkowych (Rn. 215f).

W Rn. 224 zauważono, że warunki rynkowe lub dla określonych segmentów rynku specyficzne zachowania dotyczące RODO są nieistotne. Argument „wszyscy robią to samo” nie ma zastosowania. To pozorne argument spotkałem ostatnio w odpowiedzi na pismo od przeciwnika pozwu. Postępowanie, w którym mógłem poprzeć jako ekspert sądowy, jest nadal w toku.

Zbyt obfita dostępność ogólnych i niewystarczająca dostępność konkretnych informacji wydaje się być nieprzyjemna dla RODO (Rn. 226).

Począwszy od Rn. 329, pani Dixon wyjaśnia jakie informacje WhatsApp udostępnia i przy tym bierze pod uwagę linki do dalszych dokumentów. Od Rn. 332 dokumenty są w swojej strukturze i formie dostarczania krytykowane. Ponadto, istnieją treściowe sprzeczności oraz na niektórych miejscach brak przykładów lub język jest niejasny. W wyniku tego widoczne jest ryzyko zamieszania i niejasności (Rn. 336).

Całość można podsumować następująco:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Ten podejście można również przenieść na zdezorientowanych wielu i nieprzeźroczystych dokumentach Google, które przy użyciu narzędzi Google takich jak Google reCAPTCHA, Google Maps lub Google Tag Manager stają się istotne. Cieszę się na następne większe grzywny, które nadzieja Google otrzyma. Przykładem może być Chrome Browser. ([1]) ([2]) ([3]) ([4])

Ab Rn. 345 stwierdzono, że WhatsApp niezadowalająco ocenił kategorie danych przetwarzanych.

W Rn. 355 użyto tego samego słowa, które na początku mojego wpisu nazywam Cliffhanger:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

ust. 355 tamże.

Zwraca się uwagę, że informacje o ochronie danych w WhatsApp są tak sformułowane, że nie ma widocznego czerwonego sznurka, nie mówiąc już o jednym ogólnym tekście (Rzecz. 356), a także "Użytkownik nie powinien musieć się trudnić w dostępie do przepisanych informacji". Ten zarzut chciałbym przedstawić Google. Bardziej proste będzie to zrobić, jeśli skieruję go do odpowiedzialnych z Irlandii, ale raczej lepiej jest pójść na to, żeby wziąć odpowiedzialność za działania Google i nie używać ich bezrefleksyjnie, lub najlepiej, aby Google wyjaśnił mi w ciągu miesiąca swoje stanowisko (Art. 12 § 3 RODO).

We wszystkich swoich recenzjach oświadczeń WhatsApp Helen Dixon regularnie zauważa, że WhatsApp i ona "zasadniczo się nie zgadzają". W końcu jest to dla niej warte grzywny, choć nie jest to bolesne dla Facebooka.

Specyfikacja odbiorców

Zgodnie z art. 13 ust. 1 e RODO i art. 14 ust. 1 e RODO , odbiorcy lub kategorie odbiorców danych powinny być wymienione, aby spełnić obowiązki informacyjne zgodnie z art. 12 RODO . Grupa Art. 29 jest cytowana przez Panią Dixon w tym zakresie (Rn. 426). ([1]) ([2]) ([3]) ([4])

Grupa pisze, że nazwy odbiorców powinny być zazwyczaj wymienione, ponieważ jest to zazwyczaj najbardziej znacząca informacja, do której ma prawo osoba, której dane dotyczą. Osoba ta powinna wiedzieć, kto otrzymał lub powinien otrzymać jej dane.

Jeśli kategorie odbiorców są wymienione, należy to zrobić tak precyzyjnie, jak to możliwe. Obejmuje to również nazwanie działań każdej kategorii odbiorców.

Osobiście uważam, że w przypadku pytania o informacje zgodnie z art. 15 ust. 1 lit. c RODO należy wskazać konkretne adresata. W szczególności dotyczy to tego, jeśli osoba, której dane dotyczą, wyraziła taką wolę. Adresaci ci muszą być znani administratorowi danych. Pytaniu o informacje można przeciwstawić się tylko wtedy, gdy istnieją uzasadnione powody nieujawniania poszczególnych adresatów. Poza umową o poufności itp. nie mogę sobie wyobrazić zbyt wielu możliwości. W tym właśnie artykule 15 podałem kilka źródeł, które potwierdzają moją opinię.

Specyfikacja okresu przechowywania

Zgodnie z art. 5 ust. 1 lit. c i e RODO obowiązują zasady minimalizacji danych i ograniczenia przechowywania danych. W tym kontekście należy spełnić obowiązki informacyjne (art. 13 ust. 2 lit. a RODO). Szczególnie w celu oceny, czy istnieje uzasadnione interesy, jest ważna długość przechowywania danych. Article 29 Working Party cytowany jest następująco:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Fragment paragrafu 468.

Demnach muszą być tak precyzyjne jak tylko możliwe informacje o długości przechowywania. W Rzeczowniku 469 zwraca się uwagę, że te informacje są istotnymi informacjami ("meaningful information"), które czytelnik może w ogóle zrozumieć.

W Rzeczowniku nr 482 potwierdzono przynajmniej, że WhatsApp w niektórych miejscach udało się spełnić wymagania z art. 13 RODO, tj. przy wyjaśnieniu prawa do informacji. Jednakże przy mniej łatwych do ustalenia przepisach, takich jak Warunki zgody, ponownie stwierdzono coś negatywnego (Rzeczownik nr 496).

Zastosowanie automatyzacji procesu podejmowania decyzji zgodnie z art. 13 ust. 2 f nie ma miejsca w przypadku WhatsApp (zob. pkt 524).

Wymiana danych z innymi firmami Facebooka

Część 3 dokumentu dotyczy kwestii przejrzystości w udostępnianiu danych użytkowników między WhatsApp a innymi firmami Facebooka. Poszczególne fragmenty tekstu z polityki prywatności WhatsApp są skrupulatnie analizowane pod kątem zgodności z RODO. Cytowanie tych fragmentów jest jednym z powodów długości całego dokumentu pani Dixon, chociaż liczne dyskusje przyczyniają się do jego długości.

Pani Dixon zauważa, że firmy Facebooka, którym WhatsApp udostępnia dane, nie są wystarczająco wymienione (pkt 577). WhatsApp uważa, że jest to w porządku, ponieważ RODO tego nie wymaga (pkt 581) lub wystarczyłoby, gdyby te informacje można było znaleźć gdzie indziej w publicznie dostępnych źródłach.

W Rn. 591f oficjalnie stwierdzono, że WhatsApp nie spełnił oczekiwań w zakresie przedstawienia wymiany danych z innymi firmami Facebooka. Ponadto pani Dixon zachęca WhatsApp do usunięcia niepewnych informacji o ochronie prywatności, jeśli WhatsApp nie planuje wymieniać danych z innymi firmami Facebooka.

Przejrzystość przetwarzania

W części 4 dokumentu omawiane są pytania dotyczące przejrzystości przetwarzania danych (Rn. 593ff). Wtedy chodziło głównie o koncepcję przejrzystości opisaną przez panią Dixon z Art. 5 ust. 1 RODO oraz obowiązki informacyjne z art. 12, 13 i 14 RODO.

EDPB nie widzi tego pojęcia transparencji zdefiniowanego w Rozporządzeniu o Ochronie Danych Osobowych, ale nadal istnieje (Rn. 188). Irlandia została przewidziana przez Europę i musiała wezwać WhatsApp do odpowiedzi za naruszenie art. 5 ust. 1 Rozporządzenia o Ochronie Danych Osobowych.

Określenie wysokości grzywny

Z części 5, która dotyczy możliwości nałożenia kary grzywny, będę tu omijał szczegóły. Rozciąga się on znacznie ponad kilka stron. Na końcu EDPB żąda od irlandzkiej władzy orzekania wyższej kary niż pierwotnie zaplanowana (Rn. 807).

Irlandzka komisja ochrony danych chciała początkowo nałożyć karę grzywny w wysokości 50 milionów euro. Sprzeciw innych europejskich organów, m.in. z Niemiec, spowodował wzrost tej kwoty do 225 milionów euro. Możliwe, że 50 milionów euro zostało przyznanych przez Irlandię dlatego, że francuska komisja ochrony danych CNIL nałożyła karę grzywny w wysokości równej tej samej kwoty na Google za francuską wersję serwisu google.fr (Rn. 809ff).

Jeśli chcesz wiedzieć, ile przychodów wygenerowały Facebook (USA) i WhatsApp (Irlandia), odpowiedź znajdziesz tutaj:

Rn. 881 ebd.

Ostatecznie obrót był tak wysoki, że grzywna nie przekraczała 2 lub 4% tej sumy. Oto (nowsza) statystyka, która pomaga oszacować obrót:

Źródło: https://de.statista.com/themen/1995/whatsapp/. (obraz został przetłumaczony automatycznie).

Kwota grzywny składa się z kilku rat, które zostały uzasadnione w następujący sposób.

Rn. 888 c

Art. 5 § 1 lit. a RODO warunkuje przetwarzanie danych osobowych „na zasadzie prawnie uzasadnionej, w dobroci i wierności oraz w sposób przejrzysty dla osoby, której dane dotyczą”. To nie udało się WhatsApp.

Art. 12 RODO zawiera przepisy dotyczące obowiązku zapewnienia przejrzystych informacji osobom, których dane dotyczą, które wydają się być naruszone przez WhatsApp.

Art. 13 RODO dotyczy informacji o przetwarzaniu danych, które zostały przetworzone u osoby, której dane dotyczą. W WhatsApp również wystąpiły luki.

Art. 14 RODO jest analogiczny do Art. 13 RODO, z tym że tutaj chodzi o dane, które nie zostały przetworzone u osoby dotkniętej. W szczególności należy tu wymienić procedurę powiadomienia Non-Users, która została zaimplementowana przy pomocy wydawać się niespójnego ze względów ochrony danych hashowania.

Wysokość grzywny została wielokrotnie skrytykowana, ponieważ dla Facebooka wygląda na to, że jest ona stosunkowo niska. Przypuszczam, że ekonomiczny zysk dla Facebooka wynikający z danych przetwarzanych wskutek stwierdzonych naruszeń był znacznie większy. W końcu jest to marketingowo niemalże złoto, jeśli rejestracja nowego użytkownika prowadzi do tego, że wszyscy użytkownicy z jego adresów kontaktowych zostają w praktyce wykorzystani.

Uwagi końcowe

Pochodne i powody podane w dokumencie Helen Dixon są z pewnością warte przeczytania. Prowadzą one do interesujących spostrzeżeń i wniosków. Przynajmniej jednak pokazują, jak może przebiegać oficjalne dochodzenie. Na przykład, wymienione są dochodzenia prowadzone przez same władze, na które WhatsApp odpowiedział. Doprowadziło to następnie do wniosków pracownika ("decydenta"), które z kolei zostały przeanalizowane przez samą główną śledczą, która również wzięła pod uwagę odpowiedzi WhatsApp.

Argument Helen Dixon opiera się na tym, co uważam za spójne wyprowadzenie. Inną kwestią jest to, czy dany osąd jest dobry czy zły, słuszny czy niesłuszny, właściwy czy stronniczy.

W każdym razie argumentacja jest w dużym stopniu ukierunkowana na odpowiednie wytyczne i opinie, takie jak te Grupy Roboczej Art. 29, poprzedniczki EDPB.

Zgadzam się z Helen Dixon w jednej ważnej kwestii: Osoba jest uważana za możliwą do zidentyfikowania, jeśli można ją odróżnić od innych osób. Taka jest opinia Grupy Artykułu 29.

Również interesujące

Kluczowe przesłania tego artykułu

WhatsApp został ukarany grzywną w wysokości 225 milionów euro za naruszenie przepisów o ochronie danych, w szczególności za udostępnianie danych użytkowników innym firmom.

Nawet jeśli wartość skrótu nie identyfikuje bezpośrednio osoby, nadal może być uważana za dane osobowe, jeśli jest używana do identyfikacji osoby w grupie osób.

Nawet jeśli numer telefonu nie jest bezpośrednio powiązany z osobą, nadal można go uznać za dane osobowe, ponieważ można go zidentyfikować.

WhatsApp przetwarza numery telefonów, nawet jeśli mają one zostać usunięte, w celu identyfikacji użytkowników i wyświetlania im reklam.

Każdy, kto przetwarza dane i określa, kto ma do nich dostęp, jest odpowiedzialny za zgodność z ogólnym rozporządzeniem o ochronie danych (RODO).

Polityki prywatności WhatsApp i Google są mylące i trudne do zrozumienia dla użytkowników.

WhatsApp musi być bardziej przejrzysty w kwestii tego, jakie dane przekazuje komu i jak długo są one przechowywane.

WhatsApp został ukarany grzywną w wysokości 225 milionów euro za brak przejrzystości w wykorzystywaniu i przekazywaniu danych innym firmom Facebooka.

Organ nadzorczy ds. ochrony danych krytykuje Facebooka (WhatsApp) za niezgodne z przepisami praktyki w zakresie ochrony danych podczas powiadamiania osób niebędących użytkownikami i uważa, że grzywna jest zbyt niska.

O tych podstawowych stwierdzeniach

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden