DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

«Когда в товарищах согласья нет…»‎, приходит EDPB

 

2 сентября 2021 г. ирландский надзорный орган – Комиссия по защите данных – объявила о завершении расследования в отношении WhatsApp Ireland Ltd. От начала расследования до вынесения решения прошло больше 2,5 лет. Однако интерес вызывает не только длительность процесса, но и то, что в принятие решения пришлось вмешаться даже EDPB (European Data Protection Board). Давайте разбираться.

 

В центре этого решения – принцип прозрачности, закрепленный в ст. 5(1)(а) GDPR. Ирландская Комиссия изучила политику приватности WhatsApp, а также практики компании, связанные с использованием телефонных номеров из «телефонных книжек»‎: своих пользователей, и обнаружила некоторые интересные детали.

 

SEBI's 'WhatsApp Leak Case' Order: An unusual Precedent? – NUALS Law Journal

 

Легитимный интерес и цель обработки – вовсе не одно и то же

 

В политике приватности WhatsApp указано, что некоторые персональные данные обрабатываются на основании легитимного интереса, причем как самой компании, так и ее партнеров. При этом, к сожалению, информацию о том, кто именно может быть таким «партнером», политика не включала. Кроме того, перечень легитимных интересов был фактически организован в виде многоуровневого списка, так что текст политики выглядел так:

 

 

«К другим правовым основаниям, которые позволяют нам обрабатывать ваши персональные данные, относятся:
…Наши  легитимные интересы или легитимные интересы третьей стороны, если ваши интересы или основные права и свободы не имеют большего значения («легитимные интересы»):
…Применительно ко всем пользователям (в том числе несовершеннолетним):

    • Для предоставления услуг измерения, аналитики и других бизнес-услуг, когда мы обрабатываем данные в качестве контролера. Законные интересы, на которые мы полагаемся при такой обработке, включают:
      • предоставление точной и надежной отчетности компаниям и другим партнерам, чтобы гарантировать точное ценообразование; предоставление статистических данных о производительности, а также демонстрация ценности, которую наши партнеры получают от использования наших Сервисов;
      • в интересах компаний и других партнеров, чтобы помочь им понять своих клиентов и улучшить их бизнес, проверить наши модели ценообразования и оценить эффективность и распространение их сервисов и сообщений, а также понимать, как люди взаимодействуют с ними в наших Сервисах».

 

 

Проблема этого текста в том, что цели обработки данных в нём не указаны явно, а переправлены с описанием легитимного интереса, который лежит в основе соответствующей обработки. В результате сложно сказать, сколько именно обработок описано в этом фрагменте, не говоря уж об иных деталях: например, перечне сведений, обрабатываемых в контексте каждой конкретной обработки.

Более того, хотя политика приватности WhatsApp предназначена для чтения в том числе несовершеннолетними, приведенные в политике формулировки могут привести в замешательство даже взрослого образованного человека. Например, какие данные обрабатываются для «демонстрации ценности, которые партнеры WhatsApp получают от использования сервисов компании»? И что за «бизнес-услуги» оказывает WhatsApp, параллельно с измерениями аналитики? Вопросы есть – ответов нет. На прозрачность не похоже.

 

Хэширование с потерями

 

Одной из своих задач компания WhatsApp видела упрощение коммуникации между пользователями. Представьте себе: вы используете мессенджер, но прежде чем написать кому-то, вам приходится уточнять у собеседника, пользуется ли он тем же мессенджером. Неудобно, верно? Вот и разработчики WhatsApp так подумали и внедрили функцию «рекомендации»‎. При запуске приложения номера из вашей телефонной книги проверяются, шифруются (хэшируются) определенным образом и хранятся на серверах компании. Каждый раз, когда новый пользователь устанавливает WhatsApp, его телефонный номер (также в зашифрованном виде) сличается с базой на серверах. Это позволяет WhatsApp уведомлять пользователей о том, что их друзья и знакомые тоже (предположительно) зарегистрировались в WhatsApp. Почему предположительно? Потому что из-за особенностей шифрования один и тот же шифр мог присваиваться минимум 16 разным номерам, то есть, под одним и тем же кодом могли быть зашифрованы как знакомые пользователя, так и совершенно посторонние для него люди.

Проблема этого функционала заключалась в том, что компания WhatsApp собирала и обрабатывала персональные данные людей, не сообщая им об этом (и, конечно, не получая их согласия). Так, если у клиента, установившего приложение, испросить согласие можно, то как это сделать у всех, чьи телефоны записаны у него в телефонной книге? Однако оправдывать нарушение сложностью – не самая лучшая идея: освободиться от ответственности не получится.

 

Точку ставит EDPB

 

Занимательность это решения состоит в том, что точку в нем ставил EDPB. После завершения расследования проект решения был направлен заинтересованным надзорным органам в соответствии со ст. 60(1) GDPR. Восемь надзорных органов дали свои заключения по проекту решения. Увы, Комиссия не согласилась с большинством замечаний коллег, и потому окончательное решение должен был принять EDPB в соответствии со ст. 65(1) GDPR.

28 июля 2021 г. это решение было принято: EDPB поддержал большую часть замечаний заинтересованных органов. Следуя предписанию EDPB, ирландский надзорный орган изменил проект решения и 20 августа 2021 г. окончательное решение было принято. Штраф составил ни много ни мало 225 000 000 Евро, что на сегодняшний день является вторым по величине штрафом за нарушение GDPR (безусловный лидер – надзорный орган Люксембурга, который оштрафовал Amazon на 746 000 000 Евро).

К слову, в лонгриде мы писали о том, за какие еще нарушения предусмотрены штрафы и что нужно сделать, чтобы их избежать. 

Расписание курсов загружается, подожди несколько секунд