喵喵科技法律隨筆

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

Posted

in

, ,

by

meowtechlaw

Tags:

, , , , , ,

Comments

「WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元」 有 6 則迴響

  1. 「要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No – 喵喵科技法律隨筆」的個人頭像
    要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應
  2. 「教育部學習歷程出包,誰該負責? – 喵喵科技法律隨筆」的個人頭像
    教育部學習歷程出包,誰該負責? – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應
  3. 「10個對匿名化的誤解 – 喵喵科技法律隨筆」的個人頭像
    10個對匿名化的誤解 – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應
  4. 「英國預計裁罰臉部辨識服務公司Clearview AI 1700萬元英鎊 – 喵喵科技法律隨筆」的個人頭像
    英國預計裁罰臉部辨識服務公司Clearview AI 1700萬元英鎊 – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應
  5. 「MetaMask小狐狸區塊鏈錢包簡易六步驟註冊教學 – 喵喵科技法律隨筆」的個人頭像
    MetaMask小狐狸區塊鏈錢包簡易六步驟註冊教學 – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應
  6. 「五步驟快速建立自己的NFT—全球最大NFT交易平台Opensea教學 – 喵喵科技法律隨筆」的個人頭像
    五步驟快速建立自己的NFT—全球最大NFT交易平台Opensea教學 – 喵喵科技法律隨筆

    […] ※你可能會對這些文章有興趣1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元3.如何落實GDPR法遵?英國ICO發布問責制框架4.個資外洩,該怎麼辦?5.歐盟法院SCHREMS II案與常見問答 […]

    回應

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

Gravatar
WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

取消

連結到 %s

%d 位部落客按了讚: