О расследовании европейского регулятора в отношении WhatsApp

• Денис Садовников
• 19.10.2021
• Категории: Аналитика, За рубежами, Новости, Персональные данные, Регулирование
• Теги: GDPR, WhatsApp, Евросоюз, расследование

Об авторе: Денис Садовников, главный эксперт-юрист ФГУП ГРЧЦ, CIPP/E, GDPR DPP, GDPR DPM.

Расследование в отношении WhatsApp было начато после того, как надзорные органы в европейских странах стали получать большое количество жалоб на то, как этот сервис обходится с персональными данными (ПД) пользователей – эти данные, как известно, весьма обильны и полностью передаются сервисам Facebook – материнской компании WhatsApp.

В соответствии со ст. 56 GDPR данные жалобы должны быть направлены надзорному органу, курирующему основную организационную единицу WhatsApp в ЕС – комиссию по защите данных (Data Protection Commission, DPC), которая является по отношению к WhatsApp ведущим надзорным органом (lead supervisory authority, LSA) и выполняет функции одного окна (one-shop-stop). Надзорные органы, интересы которых затронуты в данном деле (если обработка данных осуществляется на их территории или существенно затрагивает права и свободы лиц, находящихся на данной территории), именуются заинтересованными надзорными органами (supervisory authority concerned, CSA). Дальнейшее расследование осуществляется в соответствии с положениями ст. 60 GDPR, устанавливающей, что LSA должен сотрудничать с CSAs и учитывать их позицию.

В качестве CSAs по данному делу выступили федеральный надзорный орган Германии (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), надзорный орган федеральной земли Баден-Вюртемберг (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg), надзорный орган Франции (Commission Nationale de l’Informatique et des Libertés, CNIL), надзорный орган Венгрии (Nemzeti Adatvédelmi és Információszabadság Hatóság), надзорный орган Италии (Garante per la protezione dei dati personali, IT SA) надзорный орган Нидерландов (Autoriteit Persoonsgegevens, NL SA), надзорный орган Польши (Urząd Ochrony Danych Osobowych) и надзорный орган Португалии (Comissão Nacional de Proteção de Dados).

В декабре 2018 года DPC начала процедуру расследования.

Для проведения расследования DPC было назначено уполномоченное должностное лицо – «следователь». Предмет и юридическая квалификация расследования были изложены в уведомлении о начале расследования, которое было направлено в WhatsApp IE 10 декабря 2018 года. После обмена информацией и мнениями с WhatsApp IE следователь DPC зафиксировал предлагаемые выводы в проекте отчёта о расследовании от 30 мая 2019 года.

Следователь опубликовал окончательный отчёт о расследовании 9 сентября 2019 года и передал его вместе с материалами расследования другому должностному лицу DPC, ответственному за принятие решения о наличии нарушений GDPR.

В октябре 2019 года DPC уведомил WhatsApp IE о начале стадии принятия решения, 21 мая 2020 года DPC направила WhatsApp IE предварительный проект решения с предварительными выводами DPC о нарушении GDPR. Затем 20 августа 2020 года DPC направил WhatsApp IE дополнительный проект решения о возможном использовании «корректирующих полномочий». WhatsApp IE 6 июля 2020 года представил свою позицию относительно предварительного проекта решения и 1 октября 2020 года – относительно дополнительного проекта решения. Данные позиции были приняты к сведению при подготовке окончательного проекта решения.

24 декабря 2020 года проект решения был разослан заинтересованным надзорным органам, которые представили свои возражения, замечания и комментарии. WhatsApp IE было предложено ответить на вопросы об «анонимизации» (обезличивании данных – ред.). WhatsApp IE ответила 10 марта 2021 года.

DPC 1 апреля 2021 года представила ответ на возражения заинтересованных надзорных органов, включающий ряд компромиссных предложений. Одновременно в адрес CSA была направлена для изучения позиция WhatsApp IE по вопросам анонимизации. DPC запросила все CSA представить их позицию до 20 апреля 2021 года. По запросу надзорного органа Нидерландов (NL SA) 19 апреля 2021 года DPC представила пересмотренную версию части 1 проекта решения. Вследствие этого надзорный орган Италии (IT SA) отозвал часть своих возражений. Поскольку оставшиеся возражения противоречили друг другу и исключали возможность прийти к единому мнению, DPC решила не следовать представленным возражениям и представила проект на рассмотрение Европейского совета по защите данных (European Data Protection Board, EDPB), что разрешает GDPR.

WhatsApp IE 23 апреля 2021 года был приглашён представить свою позицию перед EDPB после ознакомления со всеми материалами дела, и 28 мая позиция WhatsApp была представлена.

DPC 3 июня 2021 года запустила механизм согласования, предусмотренный ст. 60 GDPR. После запроса дополнительных материалов 14 июня дело было принято председателем EDPB к рассмотрению.

По итогам рассмотрения дела 28 июля EDPB утверждено решение (binding decision) 1/2021 по вопросу, связанному с проектом решения ирландского надзорного органа в отношении WhatsApp в соответствии со ст. 65(1)(a) GDPR.
В данном решении, изложенном на 89 страницах, EDPB установил следующее.

1. По вопросу о нарушениях GDPR

1.1. В отношении нарушения положений ст. 13(1)(d) GDPR о предоставлении информации о легитимных интересах, преследуемых контролёром или третьими лицами.

В итоговом проекте решения DPC пришла к выводу, что WhatsApp IE полностью соблюдает положения ст. 13(1)(d) GDPR, поскольку его политика приватности даёт пользователю достаточное объяснение преследуемых легитимных интересов.

Ряд заинтересованных надзорных органов не согласились с данным выводом, поскольку, по их мнению, в политике приватности не объясняется, какие именно легитимные интересы преследуются, и какие именно данные собираются и обрабатываются для достижения этих интересов. Кроме того, изложение легитимных интересов может быть непонятно несовершеннолетним пользователям.

DPC не согласилась с этими возражениями и не изменила проект решения в данной части.

Однако EDPB признал возражения относимыми к делу и обоснованными в соответствии со ст. 4(24) GDPR (relevant and reasonable objectives) и, таким образом, привёл ситуацию к тому, что в соответствии со ст. 65(1) GDPR такие возражения должны быть рассмотрены и оценены по существу.

В своей оценке EDPB напоминает, что в тех случаях, когда правовым основанием для обработки персональных данных является легитимный интерес (ст. 6(1)(f) GDPR), в соответствии со ст. 13(1)(d) информация о таком легитимном интересе контролёра или третьей стороны должна быть предоставлена субъекту персональных данных в момент сбора персональных данных, если данные предоставляются непосредственно самим субъектом.

EDPB указывает на то, что ни политика приватности, ни объяснения WhatsApp не дают представления о том, какие именно процессы обработки данных соответствуют определённым легитимным интересам, а также какие конкретно категории данных обрабатываются для удовлетворения каждого легитимного интереса. Недостаток данной информации негативно влияет на способность субъекта реализовать свое право на возражение против обработки персональных данных. EDPB также отмечает, что формулировки, подобные этой: «…для осуществления измерений, аналитики и других бизнес сервисов», не достигают порога ясности и понятности, установленного ст. 13(1)(d) GDPR. Субъект персональных данных не в состоянии реализовать свои права, поскольку неясно, что имеется в виду под «другими бизнес сервисами», поскольку WhatsApp IE не раскрывает эту информацию, а также не указывает на связь с определённым легитимным интересом. EDPB отмечает, что неясно, каких именно бизнес партнеров имеет ввиду WhatsApp IE. EDPB указывает, что описание легитимного интереса как основания для обработки данных в следующем виде: «…чтобы создавать, предоставлять и поддерживать инновационные сервисы» не соответствует требованиям порога ясности, установленным ст. 13(1)(d) GDPR.

WhatsApp IE также полагается на легитимный интерес «для того, чтобы обеспечить безопасность систем и бороться со спамом, угрозами, злоупотреблениями, незаконной деятельностью, обеспечивать безопасность для всех продуктов компании Facebook». Таким образом, WhatsApp «делится информацией с компаниями Facebook для обеспечения безопасности». В данном случае пользователи также не имеют информации о конкретных операциях обработки данных, которая позволяла бы субъекту персональных данных реализовывать свои права. EDPB приходит к выводу, что заключение DPC в проекте решения о том, что WhatsApp IE не нарушает положения ст. 13(1)(d) GDPR, не основано на информации, которую WhatsApp IE предоставляет субъектам персональных данных.

На основании ст. 65(1) GDPR EDPB поручает DPC изменить его проект решения в соответствующей части и включить нарушение ст. 13(1)(d) GDPR в финальное решение.

1.2. По вопросу о применении хэширования

В данном случае рассматривается практика направления WhatsApp уведомлений о том, что новый пользователь присоединился к сервису. Для того, чтобы направить такое уведомление, приложение получает доступ к адресной книге пользователя, хранящиеся там номера телефонов хэшируются и хранятся в виде хэшированного списка контактов. Когда новый пользователь присоединяется к сервису, уведомление об этом направляется всем его контактам.

В первоначальном проекте решения DPC делала вывод о том, что в тех случаях, когда WhatsApp обрабатывает номера телефонов лиц, не являющихся пользователями, для целей хэширования, он является контролёром в отношении соответствующей обработки. В итоговом проекте решения DPC делает противоположный вывод о том, что полученные в итоге хэши не являются персональными данными. Вывод о нарушении ст. 14 GDPR не затрагивается данной квалификацией, однако объём нарушения существенно сокращается, что ведет к сокращению потенциального штрафа с диапазона 75-100 миллионов евро до диапазона 30-50 миллионов евро.

Ряд национальных регуляторов возражали против такой трактовки.

В частности, немецкие надзорные органы заявили, что номера телефонов лиц, не являющихся пользователями, в любом случае образуют персональные данные, даже будучи полностью хэшированными. Также немецкие надзорные органы полагают, что обработка номеров телефонов, как и любых иных персональных данных, лиц, не являющихся пользователями, не имеет законного основания. Такая обработка не является необходимой для функции синхронизации, а также не является «практикой, дружественной защите данных» (“data protection friendly”), поскольку данные хранятся без определённого ограничения по времени, не дают никаких преимуществ пользователям и не-пользователям. Непонятно, кроме того, когда удаляется список этих хэшей.

CNIL также обратила внимание на то, что полностью хэшированные номера телефонов по-прежнему являются персональными данными. Подобный процесс описан в ст. 4(5) GDPR как псевдонимизация и не может рассматриваться как анонимизация, поскольку при использовании дополнительной информации WhatsApp IE может идентифицировать субъекта персональных данных. Хранение хэшированных номеров в сочетании с информацией о пользователе, к которому относится список контактов, дает возможность восстановить номера телефонов или установить связи между пользователями и не-пользователями, когда последние создают аккаунты.

Ведущий надзорный орган не принял во внимание поступившие возражения.

EDPB посчитал поступившие возражения относимыми и обоснованными и оценил их по существу.

Ссылаясь на буквальный смысл определения «персональные данные» (ст. 4(1) GDPR) и преамбулу 26, EDPB заключает, что, поскольку существует риск идентификации не-пользователей, они должны рассматриваться в качестве идентифицируемых лиц, следовательно, данные являются персональными.

Таким образом, EDPB заключает, что списки хэшированных номеров телефонов лиц, не являющихся пользователями, в совокупности со связанными с ними данными о пользователях являются персональными данными, и поручает DPC исправить её решение в соответствующих частях, а именно в части выводов о нарушении ст. (6)(1) GDPR, выводов о нарушении ст. 14 GDPR, 7.4.4.3 выводов о нарушении ст. 5(1)(c) GDPR и влияния данных нарушений на размер штрафа.

1.3. По поводу иных нарушений

Ряд национальных регуляторов в своих возражениях указали на «ограниченный характер» ирландского расследования.

1.3.1. Нарушение принципа прозрачности

Среди данных возражений EDPB оценил как относимые и обоснованные возражения о необходимости дополнительной квалификации деятельности WhatsApp как нарушающей ст. 5(1)(a) GDPR (принцип законности, справедливости и прозрачности (lawfulness, fairness and transparency)). Остальные возражения были признаны не относимыми, либо необоснованными.

EDPB полагает, что обработка персональных данных, осуществляемая WhatsApp, в целом является непрозрачной. EDPB приходит к выводу, что в данном деле имело место именно такое нарушение, которое оказало существенное негативное влияние на все процессы, связанные с обработкой WhatsApp ПД, и поручает DPC изменить решение в соответствующей части.

1.3.2. Нарушения обязанности проинформировать субъекта персональных данных о получателях или категориях получателей персональных данных, если таковые имеются (ст. 13 (1)(e) GDPR)

В своём проекте решения DPC обратила внимание на то, что WhatsApp не идентифицирует получателей или группы получателей, которым он передает персональные данные пользователей, и указала на необходимость прояснения Политики приватности в соответствующей части. Однако при этом уточнялось, что это просто «мнение, высказанное как рекомендация с единственной целью помочь WhatsApp выполнить свои обязательства по прозрачности».

Заинтересованные надзорные органы не согласились с этим и предложили квалифицировать данную ситуацию как самостоятельное правонарушение.

EDPB посчитал данные возражения относимыми и обоснованными и рассмотрел их по существу, согласившись, в конечном итоге, признать данное нарушение, поскольку соответствующий раздел Политики был изложен неясно и путано.

2. В отношении определения размера штрафа и использования корректирующих полномочий

EDPB сократил период, в течение которого WhatsApp должен привести свою деятельность по обработке персональных данных в соответствие с GDPR, с 6 до 3 месяцев.

Кроме, того, EDPB указал DPC на необходимость перерасчёта назначенного штрафа, принимая во внимание большее количество нарушений, скорректированную оценку годового оборота за предыдущий год, а также все обстоятельства совершенных нарушений.

С учётом замечаний и рекомендаций EDPB DPC подготовила на 266 страницах новое решение, которое было опубликовано 2 сентября 2021 года.

Финальная сумма штрафа составила 225 миллионов евро.

DPC заключила, что WhatsApp совершил следующие нарушения:

• не обеспечил предоставление пользователям информации, согласно требованиям ст. 13 GDPR (предоставление информации, когда данные предоставляются непосредственно самим субъектом);
• не обеспечил предоставление необходимой информации субъектам персональных данных, чьи номера телефонов обрабатывались в составе списков контактов пользователей согласно ст. 14 GDPR (предоставление информации, когда данные получены не от самого субъекта);
• не обеспечил предоставление информации в простой и доступной форме («easily accessible form»), как требует ст. 12 GDPR;
• в результате перечисленного нарушил всеобъемлющий принцип прозрачности, предусмотренный ст. 5(1)(a) GDPR.

Кроме того, DPC потребовала от WhatsApp обеспечить предоставление необходимой информации в течение трёх месяцев с даты принятия решения в окончательной форме (20 августа 2021 года) и вынесла компании предупреждение.

Выводы

Данное дело привлекает внимание ввиду размера штрафа, а также масштаба обработки ПД WhatsApp, затрагивающей десятки, если не сотни миллионов пользователей, а также субъектов из списка контактов. Кроме того, по существу, это первое дело трансграничного характера, в котором ведущий надзорный орган и заинтересованные надзорные органы не смогли прийти к консенсусу относительно принципиальных позиций итогового решения, и дело пришлось рассматривать EDPB в соответствии со специальной процедурой. В данном случае ведущий надзорный орган подготовил очень мягкий проект решения, а заинтересованные надзорные органы требовали более жёсткого наказания. По большинству пунктов ЕDPB поддержал более жёсткую позицию.

Помимо самого характера дела и процессуальных моментов представляется необходимым отметить также ряд важных позиций по принципиальным вопросам, которые отражены в данном деле (и выражены, прежде всего, EDPB).

1. Концепт «персональные данные»

EDPB последовательно развивает широкое понимание данного концепта, продолжая практику CJEU, WP29 и свою собственную. В частности, снова подчеркивается, что идентификация включает не только установление действительного имени или каких-либо «идентификаторов» физического лица, но и его «выделение» из массы иных физических лиц (‘single out’). Также снова подчеркивается, что псевдонимизированные персональные данные, включая хэшированные, продолжают оставаться персональными, если есть возможность связывания этих данных с каким-то конкретным лицом.

2. Анонимизация и псевдонимизация

EDPB снова подчеркивает, что данные не могут считаться анонимными, если контролер, либо третье лицо, имеют возможность определить, к кому относятся данные, используя дополнительную информацию. Неважно, кто имеет доступ к такой дополнительной информации. Если она в принципе существует, и в принципе доступна с использованием разумных усилий, данные являются персональными. Анонимизация и псевдонимизация не могут оцениваться изолировано, а только в контексте обработки ПД и всех фактических обстоятельств.

3. Принципы обработки персональных данных

Принципы обработки ПД не только воплощаются в конкретных нормах, правах и обязанностях, но существуют непосредственно, сами по себе являясь правовыми нормами прямого действия и обладая более высокой юридической силой, чем конкретные нормы. Это означает, что фиксируются нарушения не только конкретную обязанность, но и самого принципа, из которого эта обязанность вытекает. Для понимания значения принципа следует прибегать к формально-логическому, системно-структурному и телеологическому методам толкования закона. При конфликте принципа и конкретной нормы права – приоритет принадлежит принципу. При оценке нарушения принципа надо принимать во внимание не только отдельные факты дела, но и оценивать их в совокупности, в системной взаимосвязи с целями, характером и контекстом обработки.

4. Принцип прозрачности и обязательства контролера по информированию субъектов персональных данных

Обязательства контролёра информировать субъектов ПД имеют большое значение, поскольку они направлены на реализацию всеобъемлющего принципа прозрачности, который является необходимой предпосылкой реализации прав субъекта ПД, а также базовой концепции data sovereignty – права субъекта распоряжаться своими данными. Таким образом, данные обязательства, как и принцип прозрачности, играют ключевую роль в обеспечении фундаментальных права личности.

Помимо этого, следует отметить наличие системной проблемы в принуждении транснациональных IT-компаний к соблюдению GDPR. Проблема в том, что такие компании, как правило, имеют свои основные европейские организационные единицы (main establishment) в Ирландии. Эта страна не только обладает сравнительно слабым надзорным органом, не имеющим достаточных кадровых и материальных ресурсов, но и находится в определённой экономической зависимости от транснациональных технологических компаний. Деятельность организационных единиц этих компаний составляет значительную часть экономики «зелёного острова» и формирует существенную часть национального бюджета. Не желая вредить собственной экономике и бюджету, DPC старается занимать мягкую позицию и договариваться с нарушителями, избегая к жёстких мер. В связи с этим одна из авторов GDPR Вивьен Рединг (Viviane Reding), бывший комиссар юстиции ЕС, назвала Ирландию «GDPR bottleneck» («бутылочное горлышко GDPR»), которое позволяет крупным компаниям избегать ответственности. Данная ситуация привела к росту обеспокоенности и появлению предложений о необходимости усиления централизованного регулирования и правоприменения на уровне ЕС, а также о поддержке слабых национальных надзорных органов.