5,5 millió eurós bírságot szabott ki az Ír Adatvédelmi Bizottság (DPC) a WhatsApp Irelandre az Általános Adatvédelmi Rendelet (GDPR) megsértése miatt. A Hatóság követelményei szerint a WhatsAppnak hat hónap áll rendelkezésére, hogy szabályszerűvé tegye az adatkezelési tevékenységét, ellenkező esetben újabb bírságra számíthat majd a cég.
A DPC még 2018. május 25-én indított vizsgálatot egy német WhatsApp felhasználó panaszát követően. A WhatsApp aznap frissítette az Általános Szerződési Feltételeit az európai felhasználók számára, amit – ha hozzá szerettek volna férni az alkalmazás fő felületéhez – kénytelenek voltak elfogadni. A DPC-hez benyújtott panasz szerint a WhatsApp a változások elfogadására kényszerítette a felhasználókat, és már az alkalmazás megnyitásához is hozzá kellett járulniuk a személyes adataik feldolgozásához. Mindez ugyan sérti a GDPR 7. cikkét (A hozzájárulás feltételei), nem emiatt vonták felelősségre a WhatsAppot.
A DPC megállapításai szerint a WhatsApp nem tájékoztatta megfelelően a felhasználókat az adatkezelés céljáról és okairól, ezzel megsértve a GDPR 12. és 13. cikkét. Viszont mivel a DCP ugyanezen okok miatt már korábban kiszabott a WhatsAppra egy 225 millió eurós bírságot, a mostani 5,5 millió eurós bírság a GDPR – az adatok feldolgozásának jogszerűségéről szóló – 6. cikkének megsértése miatt került megállapításra, derült ki a DPC közleményéből.
Míg a 7. cikk megsértésére vonatkozó panasszal a német Felügyeletei Hatóság foglalkozik tovább, addig a DPC újabb vizsgálatot indít annak megállapítására, a WhatsApp sérti-e a GDPR 9. cikkét azáltal, hogy marketingcélú adatgyűjtést folytat, és az adatokat megosztja harmadik felekkel is. A WhatsApp fellebbezést tervez benyújtani a DPC döntése ellen, mondván, hogy a szolgáltatás a jogszabályi előírásoknak megfelelően működik.
