WhatsAppia uhkaa 5,5 miljoonan euron sakko, kun DPC rajoittaa WhatsAppia vastaan nostetun kanteen laajuutta ja hylkää EDPB:n pyynnön tutkia muun muassa tietojen jakamista Metan sisällä.
Kuten Irlannin tietosuojaviranomainen DPC tänään vahvisti, Euroopan tietosuojaneuvosto (EDPB) on päättänyt, että Meta ei voi pakottaa WhatsApp-käyttäjiä hyväksymään tietojensa käyttöä "palvelun parantamiseen" ja "turvallisuuteen". Keskeinen asia on tietojen käyttö "käyttäytymiseen perustuvaan mainontaan, markkinointitarkoituksiin sekä mittaritietojen toimittamiseen kolmansille osapuolille ja tietojen vaihtoon sidosyritysten kanssa" " ei käsitelty Irlannin tietosuojaneuvostossa, vaikka EDPB:n sitovassa päätöksessä todetaan, että nämä asiat on tutkittava. Päätös on tehty 4,5 vuotta sen jälkeen, kun noyb oli tehnyt alkuperäiset valitukset, jotka koskivat sitä, että Meta oli kiertänyt yleisen tietosuoja-asetuksen käyttöehdoissa olevan lausekkeen avulla.
- Selitysvideo Metan kiertämisestä (joulukuusta 2022 alkaen)
- Blogipostaus päätöksistä Facebookissa ja Instagramissa
- Alkuperäiset noybin tekemät valitukset vuodelta 2018
- Tietosuojaneuvoston lopullinen päätös (PDF)
Keskeiset faktat:
- Toukokuun 25. päivänä 2018 noyb teki kolme valitusta Facebookia, Instagramia ja WhatsAppia vastaan pakotetun suostumuksen perusteella.
- Kaksi itävaltalaisen ja belgialaisen käyttäjän puolesta Facebookia ja Instragramia vastaan tehtyä valitusta ratkaistiin tammikuun ensimmäisellä viikolla, mikä johti yhteensä 390 miljoonan euron sakkoihin.
- Kolmas saksalaisen käyttäjän puolesta tehty WhatsAppia koskeva päätös julkaistiin tänään.
- Meta yritti "kiertää" yleisen tietosuoja-asetuksen mukaisen suostumusvaatimuksen lisäämällä mainonnan ehtoihin lausekkeen.
- Joulukuussa 2022 EDPB kumosi Irlannin tietosuojaviranomaisen aikaisemman päätösluonnoksen, jossa katsottiin, että Metan tekemä GDPR:n kiertäminen oli laillista, ja EDPB vaati muutoksia WhatsAppia koskevaan päätökseen sekä lisätutkimuksia WhatsAppin keskeisistä rikkomuksista.
- DPC on nyt mukauttanut rajoitettua päätöstään, mutta kieltäytyy tutkimasta muita asioita, kuten EDPB on määrännyt. DPC uhkaa nostaa kanteen eurooppalaisia kumppaneitaan vastaan.
- Päätös edellyttää todennäköisesti, että WhatsApp ottaa käyttöön "opt-in" -järjestelmän henkilötietojen käyttämiseksi "tuotteen parantamiseen", kun taas henkilötietojen käyttö turvallisuustarkoituksiin voitaisiin suurelta osin siirtää toiselle oikeusperustalle.
Meta halusi "ohittaa" GDPR:n. Yleinen tietosuoja-asetus sallii kuusi oikeusperustaa tietojen käsittelylle, joista yksi on 6 artiklan 1 kohdan a alakohdan mukainen suostumus. Meta yritti kiertää suostumusta koskevan vaatimuksen seurannan ja verkkomainonnan osalta väittämällä, että mainokset ovat osa "palvelua", jonka se on sopimuksen mukaan velkaa käyttäjille. Väitetty oikeusperustan vaihto tapahtui täsmälleen 25. toukokuuta 2018 keskiyöllä, jolloin yleinen tietosuoja-asetus tuli voimaan. Direktiivin 6 artiklan 1 kohdan b alakohdan mukainen niin sanottu "sopimuksellinen välttämättömyys" ymmärretään yleensä suppeasti, ja se sallisi esimerkiksi verkkokaupan välittää osoitteen postipalvelulle, koska se on ehdottoman välttämätöntä tilauksen toimittamiseksi. Meta kuitenkin katsoi, että se voisi lisätä sopimukseen satunnaisia elementtejä (kuten henkilökohtaista mainontaa) välttääkseen käyttäjiensä kyllä/ei-suostumusvaihtoehdon.
DPC rajoittaa tapauksen "turvallisuuteen" ja "palvelujen parantamiseen ". DPC on nyt rajoittanut 4,5 vuotta kestäneen menettelyn vähäisiin kysymyksiin, jotka koskevat tietojen käytön oikeusperustaa turvallisuustarkoituksiin ja palvelujen parantamiseen. Näin ollen kuluttajavalvontakomitea jättää huomiotta tärkeät kysymykset, jotka koskevat WhatsAppin tietojen jakamista Meta-yhtiön muiden yritysten (Facebook ja Instagram) kanssa mainontaan ja muihin tarkoituksiin. Vaikka käyttäjiltä olisi pyydettävä suostumusta tietojensa käyttämiseen tuotteiden parantamiseen opt-in-ilmoituksella, näyttää selvältä, että tietojen käyttö tietoturvatarkoituksiin on edelleen laillista yleisen tietosuoja-asetuksen nojalla, vaikka sitä ei enää sisällytettäisikään sopimukseen.
Max Schrems:"Olemme hämmästyneitä siitä, miten tietosuojaneuvosto yksinkertaisesti jättää huomiotta asian ytimen 4,5 vuotta kestäneen menettelyn jälkeen. DPC jättää myös selvästi huomiotta Euroopan tietosuojaneuvoston sitovan päätöksen. Näyttää siltä, että DPC katkaisee lopullisesti kaikki siteet EU:n kumppaniviranomaisiin sekä EU:n ja Irlannin lainsäädännön vaatimuksiin."
WhatsAppin "metatietoja" käytetään edelleen personoituihin mainoksiin? Vaikka WhatsApp ei tarjoa personoituja mainoksia, se toimittaa Facebookille ja Instagramille niin sanottuja "metatietoja", joita puolestaan käytetään personoituun mainontaan näillä kahdella sosiaalisen median alustalla. Nämä metatiedot paljastavat paljon tietoa käyttäjien viestintäkäyttäytymisestä: kuka viestii kenelle ja milloin, kuka käyttää sovellusta milloin, kuinka kauan ja kuinka usein. Vaikka itse viestintä on salattua, ihmisten puhelinnumerot ja niihin liittyvät Facebook- tai Instagram-tilit kerätään. Tällaisia tietoja voidaan sitten käyttää mainosten personointiin käyttäjille muilla Meta-alustoilla, kuten Facebookissa ja Instagramissa. DPC näyttää kieltäytyneen tutkimasta tätä valitusten ydinasiaa.
Max Schrems: "WhatsApp sanoo, että se on salattu, mutta tämä pätee vain keskustelujen sisältöön - ei metatietoihin. WhatsApp tietää edelleen, kenen kanssa keskustelet eniten ja mihin aikaan. Tämän ansiosta Meta voi saada hyvin tarkan käsityksen sosiaalisesta verkostosta ympärilläsi. Meta käyttää näitä tietoja esimerkiksi kohdentamaan mainoksia, joista ystävät olivat jo aiemmin kiinnostuneita. Näyttää siltä, että tietosuojaneuvosto on nyt yksinkertaisesti kieltäytynyt päättämästä asiasta, vaikka tutkimuksia on tehty 4,5 vuotta."
DPC ja Meta tekivät yhteistyötä ja saivat EDPB:n hylätyksi. Menettelyn aikana Meta on vedonnut kymmeneen luottamukselliseen tapaamiseen Irlannin DPC:n kanssa, joissa DPC on sallinut Metan käyttää tätä "ohituskaistaa". Myöhemmin paljastui, että DPC oli jopa yrittänyt vaikuttaa EDPB:n suuntaviivoihin Metan etujen mukaisesti. Siitä huolimatta muut eurooppalaiset tietosuojaviranomaiset hylkäsivät DPC:n näkemyksen sisäisesti vuonna 2018, suuntaviivoissa vuonna 2019 ja jälleen lopullisessa EDPB:n päätöksessä joulukuussa 2022. Juttu kesti 4,5 vuotta ja siihen liittyi satoja sivuja raportteja ja lausuntoja, vaikka kyse oli varsin yksinkertaisesta oikeudellisesta kysymyksestä.
Max Schrems: "Tässä tapauksessa on kyse yksinkertaisesta oikeudellisesta kysymyksestä. Meta väittää, että ohitus tapahtui DPC:n siunauksella. Tietosuojaneuvosto on vuosia pitkittänyt menettelyä ja vaatinut, että Meta voi ohittaa tietosuoja-asetuksen, mutta muut EU:n viranomaiset ovat nyt hylänneet sen. Kyseessäon kaiken kaikkiaan neljäs kerta peräkkäin, kun Irlannin DPC hylättiin."