Гамбургское агентство по защите данных запретило Facebook обрабатывать дополнительные пользовательские данные WhatsApp, к которым технический гигант предоставляет себе доступ в соответствии с обязательным обновлением условий обслуживания WhatsApp.
Спорное обновление политики конфиденциальности WhatsApp вызвало всеобщую путаницу во всем мире с момента его анонса – и уже было отложено Facebook на несколько месяцев после того, как крупная реакция пользователей увидела, что приложения для обмена сообщениями конкурентов извлекли выгоду из притока разгневанных пользователей.
Правительство Индии также пыталось заблокировать внесение изменений в Условия и положения WhatApp в суде, а антимонопольный орган страны проводит расследование.
Во всем мире пользователи WhatsApp должны принять новые условия до 15 мая (после чего требование принять обновление Условий и условий станет постоянным, согласно часто задаваемым вопросам WhatsApp).
По данным Facebook, большинство пользователей, которым навязывали условия, уже приняли их, хотя не раскрывает, какая это доля пользователей.
Но вмешательство DPA в Гамбурге может еще больше задержать развертывание Условий и условий для Facebook – по крайней мере, в Германии – поскольку агентство использовало срочную процедуру, разрешенную Общим регламентом защиты данных Европейского Союза (GDPR), чтобы приказать технологическому гиганту не поделитесь данными за три месяца.
Представитель WhatsApp оспорил юридическую силу приказа Гамбурга, назвав его «фундаментальным непониманием цели и последствий обновления WhatsApp» и заявив, что «поэтому он не имеет законного основания».
«В нашем недавнем обновлении объясняются варианты, которые есть у людей для сообщения компании в WhatsApp, и обеспечивается дополнительная прозрачность в отношении того, как мы собираем и используем данные. Поскольку утверждения Гамбургского DPA ошибочны, этот порядок не повлияет на дальнейшее развертывание обновления. Мы по-прежнему полностью привержены обеспечению безопасного и конфиденциального общения для всех », – добавил представитель, предполагая, что принадлежащий Facebook WhatsApp, возможно, намеревается проигнорировать приказ.
Мы понимаем, что Facebook рассматривает варианты обжалования процедуры Гамбурга.
Чрезвычайные полномочия, которые использует Гамбург, не могут длиться более трех месяцев, но агентство также оказывает давление на Европейский совет по защите данных (EDPB), чтобы он вмешался и принял то, что он называет «обязательным решением» для блока из 27 государств-членов.
Мы связались с EDPB, чтобы узнать, какие действия, если таковые имеются, он может предпринять в ответ на призыв Гамбургского DPA.
Этот орган обычно не участвует в принятии обязательных решений GDPR, связанных с конкретными жалобами, за исключением случаев, когда DPA ЕС не могут согласовать проект решения GDPR, переданный им на рассмотрение ведущим надзорным органом в рамках механизма единого окна для обработки трансграничных дел. .
В таком сценарии EDPB может отдать решающий голос, но неясно, подойдет ли процедура срочности.
Принимая экстренные меры, немецкое DPA не только атакует Facebook за то, что тот продолжает игнорировать правила защиты данных ЕС, но и бросает тень на своего ведущего надзорного органа данных в регионе, Ирландскую комиссию по защите данных (DPC), обвиняя последнего в неспособность исследовать очень распространенные проблемы, связанные с входящими условиями и положениями WhatsApp.
(«Наш запрос к ведущему надзорному органу о расследовании фактической практики обмена данными до сих пор не был удовлетворен», – вежливо обрамлено это оттенком в пресс-релизе Гамбурга).
Мы обратились в DPC за ответом и обновим этот отчет, если мы его получим.
Ирландская служба по надзору за данными не новичок в критике за то, что она допускает творческое бездействие регулирующих органов, когда дело доходит до соблюдения GDPR – критики обвиняют комиссара Хелен Диксон и ее команду в неспособности расследовать множество жалоб, а в тех случаях, когда она открыла расследования, потребовались годы на расследование – и, наконец, выбор в пользу слабого принуждения.
Единственное решение GDPR, которое DPC вынесло на сегодняшний день против технологического гиганта (против Twitter, в связи с утечкой данных) оспаривался другими DPA ЕС, которые требовали гораздо более сурового наказания, чем штраф в размере 550 тысяч долларов, наложенный в конечном итоге Ирландией.
Расследование GDPR в отношении Facebook и WhatsApp остается на столе DPC. Хотя проект решения по одному делу о прозрачности обмена данными WhatsApp был отправлен на рассмотрение другим DPA ЕС в январе, но решение все еще не увидело свет почти через три года после того, как правила начали применяться.
Короче говоря, разочарование по поводу отсутствия соблюдения GDPR в отношении крупнейших технологических гигантов растет среди других DPA ЕС – некоторые из них теперь прибегают к творческим регуляторным действиям, чтобы попытаться обойти узкое место, созданное единым окном (OSS). механизм, который направляет столько жалоб через Ирландию.
Итальянский DPA также выпустил предупреждение об изменении условий и условий WhatsApp еще в январе, заявив, что он связался с EDPB, чтобы выразить обеспокоенность по поводу отсутствия четкой информации о том, что меняется.
Тогда EDPB подчеркнул, что его роль заключается в содействии сотрудничеству между надзорными органами. Он добавил, что продолжит способствовать обмену между DPA «для обеспечения последовательного применения закона о защите данных во всем ЕС в соответствии со своим мандатом». Но всегда хрупкий консенсус между DPA ЕС становится все более чреватым из-за узких мест в сфере правоприменения и восприятия того, что регулирование не соблюдается из-за покупок на форумах OSS.
Это увеличит давление на EDPB, чтобы найти способ выйти из тупика и избежать более широкого нарушения правил – то есть, если все больше и больше агентств государств-членов будут прибегать к односторонним «экстренным» действиям.
Гамбургский DPA пишет, что обновление условий WhatsApp предоставляет платформе обмена сообщениями «широкие полномочия по обмену данными с Facebook» для собственных целей (в том числе для рекламы и маркетинга) – например, путем передачи данных о местоположении пользователей WhatApp в Facebook и позволяет передавать данные связи пользователей WhatsApp третьим лицам, если предприятия используют услуги хостинга Facebook.
По его оценке, Facebook не может полагаться на законные интересы в качестве правовой основы для расширенного обмена данными в соответствии с законодательством ЕС.
И если технический гигант намеревается полагаться на согласие пользователя, он не соответствует планке либо потому, что изменения четко не объяснены, либо пользователям не предлагается свободный выбор согласиться или нет (что является обязательным стандартом в соответствии с GDPR).
«Исследование новых положений показало, что они нацелены на дальнейшее расширение тесной связи между двумя компаниями, чтобы Facebook мог использовать данные пользователей WhatsApp в своих целях в любое время», – продолжает Гамбург. «В области улучшения продуктов и рекламы WhatsApp оставляет за собой право передавать данные компаниям Facebook без какого-либо дополнительного согласия субъектов данных. В других областях использование для собственных целей в соответствии с политикой конфиденциальности уже может быть принято в настоящее время.
«Политика конфиденциальности, представленная WhatsApp, и FAQ описывают, например, что данные пользователей WhatsApp, такие как номера телефонов и идентификаторы устройств, уже обмениваются между компаниями для совместных целей, таких как безопасность сети и предотвращение рассылки спама. . »
DPA, такие как Гамбург, могут почувствовать поддержку, взяв в свои руки обеспечение соблюдения GDPR, благодаря недавнему заключению советника высшей судебной инстанции ЕС, как мы предполагали в нашем обзоре в то время. Генеральный адвокат Бобек считает, что закон ЕС позволяет агентствам возбуждать свои собственные дела в определенных ситуациях, в том числе для принятия «срочных мер» или вмешательства «после того, как ведущий орган по защите данных решил не вести дело».
Решение CJEU по этому делу еще не принято, но суд, как правило, соглашается с позицией своих советников.