WhatsApp fined €5.5 million by Irish DPC for GDPR violation

アイルランドのデータ保護委員会 (DPC) は、メッセージング サービスが一般データ保護規則 (GDPR) に違反していることを確認した後、アイルランドの WhatsApp に 550 万ユーロ (595 万ドル) の罰金を科しました。

当局は WhatsApp に対し、データ処理業務を 6 か月以内に遵守するよう命じました。さもなければ、新たな罰金が科せられます。

2018 年 5 月 25 日、ドイツのデータ主体からの苦情を受けて、DPC は WhatsApp による規制違反の可能性について調査を開始しました。

同日、WhatsApp は利用規約を更新し、EU を拠点とするすべてのユーザーに、アプリのメイン インターフェイスへのアクセスを継続するためにクリックして変更を受け入れるよう促しました。

ユーザーの同意の無視

DPC に提出された訴状では、WhatsApp がソフトウェアの使用を継続することを条件にすることで、ユーザーに変更の受け入れを強制したと主張しています。したがって、ユーザーはアプリを開くためだけに個人データの処理に同意する必要がありました。

これは、GDPR の第 7 条の説明 32に違反しています。これは、データ主体の決定に圧力、影響、または不均衡を導入する要素なしに、ユーザーの同意が自由に与えられ、特定の情報に基づいた明確な基準で提供される必要があることを要求しています。

包括的な調査の結果、DPC は次のように結論付けました。

  1. WhatsApp Irelandは、GDPRの第12条および第13条に違反する、要求されたユーザーデータ処理の法的根拠または明示的な理由を明確に概説していません.
  2. WhatsApp Ireland は、サービスを提供するため、または個人ユーザー データを処理するための合法的な根拠としてサービスを使用するために、ユーザーの同意に依存していなかったため、強制的な同意により第 7 条に違反していません。

DPCはすでに同じ理由でWhatsAppに多額の罰金を科しているため、最初のポイントには追加のペナルティは発生しません.

「DPCは、同じ期間にこの義務およびその他の透明性義務に違反したとして、WhatsApp Irelandにすでに2億2500万ユーロの非常に多額の罰金を科しましたが、それ以上の罰金または是正措置を課すことを提案しませんでした.以前の調査で」と、 決定の根拠を読みます。

2 番目の点については、ドイツのデータ主体の主張を DPC が拒否したからといって、この件が終結したわけではありません。ドイツの監督当局も苦情を検討することになるからです。

WhatsApp Ireland に対する 550 万ユーロの罰金は、データ保護プロセスにおける透明性、合法性、および公平性を要求する「処理の合法性」に関する GDPR の第 6 条に違反したために課せられたものです。

さらに、DPC は、「特別なカテゴリの個人データの処理」に関する GDPR の第 9 条に違反しているかどうかを判断するために、そのサービスにおける WhatsApp のすべての処理操作をカバーする新しい調査を開始します。

データ保護機関は、WhatsApp が行動広告やマーケティングの目的で機密データを収集して処理するかどうか、およびこのデータが第三者と共有されるかどうかを判断したいと考えています。

WhatsAppは、同社のサービスが法的に準拠した方法で運営されていると考えているため、この決定に対して控訴する予定であると通知した.以下は、DPC の決定に関して WhatsApp の広報担当者から受け取ったコメントの全文です。

WhatsApp は、エンドツーエンドの暗号化と人々を保護するプライバシー層を提供することで、プライベート メッセージングの業界をリードしてきました。サービスの運用方法は、技術的にも法律的にも準拠していると確信しています。

人々の安全を確保し、革新的な製品を提供することは、サービスを運営する上での基本的な責任であると信じているため、サービスの改善とセキュリティの目的で契約上の必要性に依存しています。私たちはこの決定に同意せず、上訴するつもりです。