アイルランドのデータ保護委員会(DPC)は、ユーザーのプライバシーに関するEU規則に違反したとしてWhatsAppに2億2500万ユーロの罰金を科した。
当局は、WhatsApp Ireland がユーザーに必要なデータ保護情報を提供していないと述べた。
これはDPCが課した罰金としては過去最大であり、EUデータ保護法に基づいて組織に課せられた罰金としては2番目に大きい。
フェイスブック傘下のメッセージングプラットフォームも「透明性義務」を満たしていないとして指摘された。
WhatsAppに与えられた最初の罰金は、「多くの要因」により欧州データ保護委員会によって増額されたとDPCは付け加えた。
欧州連合内でFacebookのデータプライバシー規制を主導する同機関は、問題はWhatsAppが2018年に透明性に関するEUのデータ規則に準拠していたかどうかに関連していると述べた。
「これには、WhatsAppと他のFacebook企業との間の情報処理に関してデータ主体に提供された情報が含まれる」とアイルランド規制当局は声明で述べた。
WhatsAppの広報担当者は声明で、問題となっている問題は2018年に施行された政策に関連していると述べた。
「WhatsAppは安全でプライベートなサービスを提供することに尽力している。提供する情報の透明性と包括性を確保するよう努めてきたし、今後もそうしていく」と広報担当者は述べた。
判決は何と言っていますか?
木曜日に発表されたDPCによる決定には次のように書かれている。
「第 58 条(2)(i)および第 83 条に基づく、WhatsApp 宛ての 2 億 2,500 万ユーロの行政罰金。誤解を避けるために付け加えておきますが、この罰金は、以下のとおり、発生したことが判明した侵害を反映しています。 : i. GDPR 第 5 条 (1)(a) の違反に関して、9,000 万ユーロの罰金。 iii. GDPR 第 12 条の違反については 3,000 万ユーロの罰金、および iv. GDPR 第 14 条の違反については罰金。 7,500万ユーロです。」
しかし、これは実際には何を指すのでしょうか?
5.1 (a) - WhatsApp はユーザーの個人データを合法的、公正かつ透明な方法で処理できませんでした。
12 - WhatsAppは、データがどのように収集されるかに関する情報を「明確で平易な言葉を使用して、簡潔、透明、理解しやすく、簡単にアクセスできる形式で」提供することを怠った。これには、情報が子供に向けられたものである場合、子供が理解しやすい情報を作成することが含まれます。
13 - WhatsApp は、データの保存場所、ユーザーが連絡できる人の詳細、データを収集する目的とデータの受信者をユーザーに通知できませんでした。
14 - WhatsApp は、個人データがいつ第三者から取得および処理されたのか、またそのデータの出所をユーザーに通知することができませんでした。
どうしてこうなったのでしょうか?
DPCは過去に、ハイテク大手が関与する決定に至るまでに時間がかかりすぎ、違反に対して十分な罰金を課していないとして、他の欧州規制当局から批判されてきた。
2018年12月に始まったWhatsApp調査に関してアイルランドが暫定決定を共有したことを受け、他の欧州8カ国のデータ規制当局が紛争解決メカニズムを発動した。
アイルランド規制当局によると、7月に欧州データ保護委員会の会議が「含まれる多くの要因に基づいて提案されている罰金を再評価し、増額するようDPCに求める明確な指示」を出したという。
「この再評価を受けて、DPCはWhatsAppに対して2億2500万ユーロの罰金を課した」と同紙は述べた。
今何が起こっているのでしょうか?
アイルランドの規制当局はまた、WhatsAppに対し「特定の一連の是正措置」を講じて処理を遵守させるよう命じるとともに、懲戒処分を課した。
アイルランドの規制当局は、昨年末の時点でフェイスブックとその子会社ワッツアップ、インスタグラムに対して14件の大規模な調査を開始している。
WhatsAppはまた、データポリシーをEUの厳格な規制に準拠させるために多くの措置を講じるよう命じられた。
ワッツアップは罰金は「まったく不釣り合い」であり、控訴すると述べた。
