Németország megvétózta a WhatsApp legújabb adatkezelési gyakorlatát
A Hamburgi Adatvédelmi és Információszabadság Hatóság biztosa 2016 szeptemberében megvétózta a Facebook által megvásárolt WhatsApp telefonos alkalmazás adatkezelési módosításait. A kommunikációs programot még 2014-ben vásárolta meg a közösségi oldal, mely a jelenleg prosperáló internetes vállalatok közül talán a legnagyobb adatkezelő. A Biztos hivatalának közleménye szerint a Facebook körülbelül 35 millió felhasználó adatait és telefonszámát gyűjti össze új adatkezelési szabályzata segítségével. A felhasználó feltételeket tartalmazó szabályzat, ugyanakkor jogszerűtlen gyakorlatot követ.
A Hatóság jelentése értelmében a Facebook köteles minden, a felhasználói adatait tartalmazó információt törölni adatbázisából, mivel azok begyűjtése jogellenes volt. A vállalat ugyanis 2016 augusztusában több ízben is megszegte a WhatsApp bekebelezésekor aláírt szerződését. Ennek értelmében ugyanis a Facebook és az alkalmazás között nem történhet adatmegosztás, tehát a felhasználók nyomon követése adataik felhasználásával nem valósulhatna meg. A közösségi hálózat ennek ellenére megváltoztatta adatkezelési szabályzatát és elindította a két szolgáltatás közötti adatáramlást. Ennek célja az irányított, vagy más néven viselkedésalapú reklámok közvetítéséhez szükséges információk széles körű összegyűjtése. Egyes becslések szerint ez körülbelül 1 milliárd felhasználó adatainak összekötését jelenti a Facebook szolgáltatásaival. A gyakorlat egyik aggályos szelete, hogy az adattovábbítás során a WhatsApp felhasználók telefonkészülékében lévő telefonszámok is megosztásra kerülnek, abban az esetben is, ha azok nem köthetők semmilyen Facebook profilhoz.
A frissített adatvédelmi szabályzat szerint a felhasználóknak a reklámcélból felhasznált adatok továbbítása alól ugyan adott az adatkezelés visszautasításának, tehát az ún. opt-out lehetősége, nem lehetséges azonban az adatmegosztásból való teljes kimaradás. Johannes Caspar a hamburgi adatvédelmi biztos kifejtette, hogy a Facebook ezzel megsérti az adatvédelmi szóló törvény, a Bundesdatenschutzgesetz rendelkezéseit. A felhasználóknak ugyanis joguk van eldönteni, hogy egyik fiókjukat csatolni kívánják-e a másikhoz, ezzel biztosítva az adatok szinkronizálását, vagy tartózkodnak a kiterjesztett adatkezeléstől.
A Facebook gyakorlata két okból is problematikus: egyrészt megszegte a WhatsApp bekebelezésekor lefektetett szabályokat, melynek célja biztosítani az alapvető adatvédelmi garanciák érvényesülését; másrészt vétett az adatvédelmi törvény ellen is, azáltal, hogy nem biztosította a felhasználók számára az adattovábbításhoz való előzetes hozzájárulás lehetőségét. A felhasználói adatok védelmének kikényszerítése mégis problémás lehet, hiszen a Facebook európai székhelye Írországban van. A vállalat, így – hasonlóan az ellene indított korábbi eljárásokhoz – megkérdőjelezte a német állam joghatságát e téren. A közösségi oldal ezt a gyakorlatát már többször is bevetette, ily módon védekezett például a belga hatóság tavalyi eljárásával szemben, amikor a Facebook jogszerűtlen adatgyűjtését vonták vizsgálat alá.
Az esettel kapcsolatban a Facebook nyilatkozatában biztosította az adatvédelmi biztost az együttműködéséről, konkrét megállapodás ugyanakkor nem született. A Facebook így semmilyen kötelezettséget, illetve felelősséget nem vállalt a jogszerűtlen adatgyűjtésekkel kapcsolatban.
Az eset kapcsán felmerülő probléma nem egyedülálló. A Facebook mellett a Google, a Yahoo és számos egyéb órásvállalat is egyre több eljárással néz szembe, melynek alapja szinte kivétel nélkül a jogszerűtlen, vagy az adatgyűjtés meghatározott céljától eltérő célú adatgyűjtés. Mégis jó hír, hogy egyre több európai állam veti fel a nagy internetes vállalatok adatkezelési és adatfeldolgozási gyakorlatának aggályait. Ennek jelenleg ugyan számos korlátja van, így a már említett joghatóság kérdése is rendezetlen, az adatvédelem öntudatosabb gyakorlatának kialakulása mindenképp üdvözlendő.
A vizsgálatok és eljárások megindítása mellett fontos lenne olyan, az internetes adatvédelmet érintő európai uniós jogszabályok elfogadása, melyek képesek korlátok közé szorítani a jelenleg igen kiterjedt adatgyűjtési gyakorlatot. Szükséges lenne az általános felhasználói szabályzatok kötelező elemeinek rögzítése, különös tekintettel az adatok harmadik féllel való megosztása tekintetében. A német hatóság által kezdeményezett eljárás a korábbi vizsgálatokkal együtt remélhetőleg megindítja azt a folyamatot, melynek eredményeként legalább a reklám célú adattovábbítás megfelelő korlátozások közé kényszerül.