Badan perlindungan data Hamburg telah melarang Facebook memproses data pengguna WhatsApp tambahan yang diberikan oleh raksasa teknologi itu sendiri untuk akses di bawah pembaruan wajib untuk persyaratan layanan WhatsApp.
Pembaruan kebijakan privasi WhatsApp yang kontroversial telah menyebabkan kebingungan yang meluas di seluruh dunia sejak diumumkan – dan telah ditunda oleh Facebook selama beberapa bulan setelah reaksi pengguna utama melihat aplikasi perpesanan saingan diuntungkan dari masuknya pengguna yang marah.
Pemerintah India juga berusaha untuk memblokir perubahan pada S&K WhatApp di pengadilan — dan otoritas antimonopoli negara itu sedang menyelidiki.
Secara global, pengguna WhatsApp memiliki waktu hingga 15 Mei untuk menerima persyaratan baru (setelah itu persyaratan untuk menerima pembaruan S&K akan menjadi tetap, per FAQ WhatsApp).
Mayoritas pengguna yang telah mendorong ketentuan tersebut telah menerimanya, menurut Facebook, meskipun belum mengungkapkan berapa proporsi penggunanya.
Tetapi intervensi oleh DPA Hamburg dapat lebih lanjut menunda peluncuran T&C Facebook – setidaknya di Jerman – karena agensi tersebut telah menggunakan prosedur urgensi, yang diizinkan di bawah Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, untuk memerintahkan raksasa teknologi itu untuk tidak berbagi data selama tiga bulan.
Seorang juru bicara WhatsApp membantah keabsahan hukum perintah Hamburg – menyebutnya “kesalahpahaman mendasar tentang tujuan dan dampak pembaruan WhatsApp” dan berpendapat bahwa “oleh karena itu tidak memiliki dasar yang sah”.
“Pembaruan terbaru kami menjelaskan opsi yang dimiliki orang untuk mengirim pesan ke bisnis di WhatsApp dan memberikan transparansi lebih lanjut tentang cara kami mengumpulkan dan menggunakan data. Karena klaim DPA Hamburg salah, perintah tersebut tidak akan memengaruhi kelanjutan peluncuran pembaruan. Kami tetap berkomitmen penuh untuk memberikan komunikasi yang aman dan pribadi untuk semua orang, ”tambah juru bicara itu, menunjukkan bahwa WhatsApp milik Facebook mungkin berniat untuk mengabaikan perintah tersebut.
Kami memahami bahwa Facebook sedang mempertimbangkan opsi untuk mengajukan banding atas prosedur Hamburg.
Kekuatan darurat yang digunakan Hamburg tidak dapat diperpanjang lebih dari tiga bulan tetapi agensi tersebut juga memberikan tekanan kepada Dewan Perlindungan Data Eropa (EDPB) untuk turun tangan dan membuat apa yang disebutnya “keputusan yang mengikat” untuk 27 blok Negara Anggota.
Kami telah menghubungi EDPB untuk menanyakan tindakan apa, jika ada, yang dapat diambil sebagai tanggapan atas seruan DPA Hamburg.
Badan tersebut biasanya tidak terlibat dalam membuat keputusan GDPR yang mengikat terkait dengan keluhan tertentu — kecuali DPA UE tidak dapat menyepakati draf keputusan GDPR yang diajukan kepada mereka untuk ditinjau oleh otoritas pengawas utama di bawah mekanisme satu pintu untuk menangani kasus lintas batas .
Dalam skenario seperti itu EDPB dapat memberikan suara penentu – tetapi tidak jelas apakah prosedur urgensi akan memenuhi syarat.
Memperbarui: EDPB mengonfirmasi bahwa GDPR mengizinkan otoritas pengawas yang memberi tahu tentang keputusan untuk mengadopsi tindakan sementara berdasarkan Pasal 66 untuk meminta pendapat mendesak atau keputusan mengikat yang mendesak dari Dewan — seperti jika DPA ingin memperpanjang tindakan atau membuat mereka final.
“Seni. 66 adalah pengurangan dari mekanisme Satu Atap GDPR (Pasal 60) & mekanisme konsistensi (Pasal 63),” kata seorang juru bicara EDPB kepada kami. “Ini adalah prosedur pelengkap yang dapat digunakan ketika otoritas pengawas menganggap bahwa ada kebutuhan mendesak untuk bertindak guna melindungi hak dan kebebasan subjek data di dalam wilayahnya.”
“Hamburg SA memang telah memberi tahu EDPB tentang keputusannya untuk mengadopsi tindakan sementara,” tambahnya.
Dalam mengambil tindakan darurat, DPA Jerman tidak hanya menyerang Facebook karena terus mengabaikan aturan perlindungan data UE tetapi juga memberi keteduhan pada pengawas data utamanya di wilayah tersebut, Komisi Perlindungan Data Irlandia (DPC) – menuduh yang terakhir gagal untuk menyelidiki kekhawatiran yang sangat luas yang melekat pada S&K WhatsApp yang masuk.
(“Permintaan kami kepada otoritas pengawas utama untuk menyelidiki praktik sebenarnya dari berbagi data sejauh ini tidak dihormati,” adalah pembingkaian yang sopan dari bayangan ini dalam siaran pers Hamburg).
Kami telah menghubungi DPC untuk mendapatkan tanggapan dan akan memperbarui laporan ini jika kami mendapatkannya.
Memperbarui: Seorang juru bicara DPC memberi tahu kami: “Karena Hamburg telah memulai proses ini sebagai pengurangan terhadap One Stop Shop, adalah masalah bagi DPA Hamburg untuk menanggapi bagaimana ia memenuhi ambang batas untuk memulai prosedur urgensi. Rancangan keputusan DPA Irlandia sehubungan dengan WhatsApp akan ditangani melalui prosedur penyelesaian perselisihan Art 65 di bawah GDPR, karena tidak mungkin mencapai konsensus di antara DPA. Oleh karena itu, DPA Hamburg dalam konteks terakhir itu harus memenuhi syarat tindakannya sendiri berdasarkan Pasal 66 sebagai pengurangan terhadap prosedur OSS yang sudah berjalan.”
Pengawas data Irlandia tidak asing dengan kritik bahwa ia terlibat dalam kelambanan peraturan kreatif ketika harus menegakkan GDPR – dengan kritik menuduh komisaris Helen Dixon dan timnya gagal menyelidiki sejumlah keluhan dan, dalam kasus ketika telah membuka penyelidikan, membutuhkan waktu bertahun-tahun untuk menyelidiki — dan pada akhirnya memilih penegakan hukum yang lemah.
Satu-satunya keputusan GDPR yang dikeluarkan DPC hingga saat ini terhadap raksasa teknologi (terhadap Twitter, sehubungan dengan pelanggaran data) dibantah oleh DPA UE lainnya — yang menginginkan penalti yang jauh lebih berat daripada denda $550 ribu yang akhirnya dijatuhkan oleh Irlandia.
Investigasi GDPR ke Facebook dan WhatsApp tetap berada di meja DPC. Meskipun draf keputusan dalam satu kasus transparansi berbagi data WhatsApp dikirim ke DPA UE lainnya pada bulan Januari untuk ditinjau – tetapi resolusi masih belum terungkap hampir tiga tahun setelah peraturan mulai diterapkan.
Singkatnya, rasa frustrasi tentang kurangnya penegakan GDPR terhadap raksasa teknologi terbesar semakin tinggi di antara DPA UE lainnya — beberapa di antaranya sekarang beralih ke tindakan regulasi kreatif untuk mencoba menghindari hambatan yang diciptakan oleh one-stop-shop (OSS) mekanisme yang menyalurkan begitu banyak keluhan melalui Irlandia.
DPA Italia juga mengeluarkan peringatan atas perubahan T&C WhatsApp, pada bulan Januari – mengatakan telah menghubungi EDPB untuk menyampaikan kekhawatiran tentang kurangnya informasi yang jelas tentang apa yang berubah.
Pada saat itu EDPB menekankan bahwa perannya adalah untuk mendorong kerja sama antar otoritas pengawas. Ia menambahkan bahwa pihaknya akan terus memfasilitasi pertukaran antara DPA “untuk memastikan penerapan undang-undang perlindungan data yang konsisten di seluruh UE sesuai dengan mandatnya”. Tetapi konsensus yang selalu rapuh antara DPA UE menjadi semakin penuh dengan hambatan penegakan hukum dan persepsi bahwa peraturan tersebut gagal ditegakkan karena OSS forum shopping.
Hal itu akan meningkatkan tekanan pada EDPB untuk mencari cara untuk menyelesaikan kebuntuan dan menghindari pemecahan peraturan yang lebih luas — yaitu jika semakin banyak badan Negara Anggota menggunakan tindakan ‘darurat’ sepihak.
DPA Hamburg menulis bahwa pembaruan persyaratan WhatsApp memberi platform perpesanan “kekuatan luas untuk berbagi data dengan Facebook” untuk tujuan perusahaan sendiri (termasuk untuk periklanan dan pemasaran) — seperti dengan meneruskan data lokasi pengguna WhatApp ke Facebook dan memungkinkan data komunikasi pengguna WhatsApp untuk ditransfer ke pihak ketiga jika bisnis menggunakan layanan hosting Facebook.
Penilaiannya adalah bahwa Facebook tidak dapat mengandalkan kepentingan yang sah sebagai dasar hukum untuk berbagi data yang diperluas di bawah undang-undang UE.
Dan jika raksasa teknologi itu bermaksud untuk mengandalkan persetujuan pengguna, itu tidak memenuhi standar karena perubahannya tidak dijelaskan dengan jelas atau pengguna ditawari pilihan bebas untuk menyetujui atau tidak (yang merupakan standar wajib di bawah GDPR).
“Penyelidikan ketentuan baru menunjukkan bahwa mereka bertujuan untuk lebih memperluas hubungan erat antara kedua perusahaan agar Facebook dapat menggunakan data pengguna WhatsApp untuk keperluan mereka sendiri kapan saja,” lanjut Hamburg. “Untuk bidang peningkatan produk dan periklanan, WhatsApp berhak meneruskan data ke perusahaan Facebook tanpa memerlukan persetujuan lebih lanjut dari subjek data. Di area lain, penggunaan untuk tujuan perusahaan sendiri sesuai dengan kebijakan privasi sudah dapat diasumsikan saat ini.
“Kebijakan privasi yang disampaikan oleh WhatsApp dan FAQ menjelaskan, misalnya, bahwa data pengguna WhatsApp, seperti nomor telepon dan pengidentifikasi perangkat, sudah dipertukarkan antara perusahaan untuk tujuan bersama seperti keamanan jaringan dan untuk mencegah pengiriman spam. .”
DPA seperti Hamburg mungkin merasa didukung untuk mengambil tindakan sendiri pada penegakan GDPR berdasarkan pendapat baru-baru ini oleh penasihat pengadilan tinggi UE, seperti yang kami sarankan dalam liputan kami saat itu. Advokat Jenderal Bobek berpandangan bahwa undang-undang UE mengizinkan lembaga untuk mengajukan proses mereka sendiri dalam situasi tertentu, termasuk untuk mengadopsi “langkah-langkah mendesak” atau untuk campur tangan “mengikuti otoritas perlindungan data utama yang telah memutuskan untuk tidak menangani suatu kasus.”
Putusan CJEU atas kasus itu masih tertunda – tetapi pengadilan cenderung menyesuaikan diri dengan posisi penasehatnya.
