İrlanda veri koruma kurumu, WhatsApp Ireland Ltd.’yi, özellikle Meta Platforms Inc. ailesindeki ilgili şirketlerle verilerinin nasıl işlendiği ve paylaşıldığı konusunda şeffaf bilgi sağlamadığı için para cezası verdi. Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında verilen ceza, kullanıcılar mesajlaşma hizmetine kaydolduklarında yapılan açıklamalarda yapılan eksiklikleri yansıtıyor.
Ceza, AB’deki Meta hizmetlerinin baş düzenleyicisi olarak görev yapan İrlanda Veri Koruma Komisyonu tarafından uygulandı. Yetkili, WhatsApp’ın gizlilik bildirimlerinin kullanıcı verilerinin Meta grubundaki diğer şirketlerle, operasyonel ve pazarlama amaçları da dahil olmak üzere nasıl işlendiğini, depolandığını ve paylaşıldığını net bir şekilde açıklamadığını belirtti. Düzenleyiciler, kullanıcılara sunulan bilgilerin parçalı ve anlaşılması zor olduğunu tespit etti.
GDPR kapsamında, şirketler kullanıcılara hangi kişisel verileri topladıklarını ve nasıl kullanıldığını açıkça ve özlü açıklamak zorundadır. Düzenleyici, WhatsApp’ın açıklamalarının bu standardın altında kaldığını çünkü aşırı karmaşık olduğunu ve kullanıcıların ilgili hizmetlere veri akışının boyutunu tam olarak kavrayabilmelerini sağlamadığını belirtti. İrlanda otoritesi, bu açıklık eksikliğinin kullanıcıların gizlilikleriyle ilgili bilinçli kararlar alma yeteneğini zayıflattığını belirtti.
WhatsApp Ireland Ltd., ihlalin ciddiyeti ve AB’deki etkilenen kullanıcı sayısına göre hesaplanan bir para cezası ödemesi emredildi. Bu miktar, hem WhatsApp hizmetlerinin erişimini hem de üye devletler arasında tutarlı veri koruma standartlarının uygulanması ihtiyacını yansıtıyor. Düzenleyici, ceza ve WhatsApp’ın açıklamalarının uyumsuz bulunduğu tespit edilen yönleriyle ilgili daha fazla ayrıntı yayımlayacağını söyledi.
WhatsApp, düzenleyicinin sonuçlarına katılmadığını ve karara itiraz etmeyi planladığını belirtti. Şirket, kullanıcılarla şeffaf olmaya çalıştığını ve gizlilik uygulamalarını düzenli olarak gözden geçirdiğini belirtti. Ayrıca, küresel gizlilik politikalarının zaten Meta grubu içindeki veri işleme ve paylaşımı hakkında bilgi sağladığını, ancak itiraz süreci boyunca yetkililerle iletişim kuracağını ekledi.
İrlanda Veri Koruma Komisyonu’nun kararı, düzenleyicilerin yeterince net olmayan gizlilik bildirimleri olarak nitelendirdiği büyük teknoloji şirketlerine yönelik diğer GDPR uygulama eylemlerinin ardından geldi. GDPR, veri denetleyicilerinin sıradan kullanıcıların erişebileceği bir dilde “şeffaf” bilgi sunmasını ve şeffaflık yükümlülüklerine uyumu gösteren kayıtlar tutmasını zorunlu kılıyor.
Gizlilik savunucuları, düzenleyicinin bu kararını memnuniyetle karşıladı ve veri paylaşımı konusundaki netliğin kullanıcı kontrolü için temel olduğunu söyledi. Büyük kullanıcı tabanına sahip mesajlaşma hizmetlerinin, özellikle bu verilerin profilleme veya kişiselleştirilmiş özellikler için kullanılabildiği durumlarda, verilerin hizmetler arasında nasıl akış olduğunu iletme yükümlülüğünün arttığını belirttiler.
Sonuç, diğer teknoloji şirketlerinin AB’deki gizlilik iletişimlerini nasıl şekillendirdiğini etkileyebilir. GDPR uygulama önlemleri, şirketlerin açıklamalarını düzenleyicilerin beklentileriyle uyumlu hale getirmeye ve gelecekteki yaptırımlardan kaçınmaya çalıştığı için çevrimiçi gizlilik bildirimlerinde revizyonlara yol açıyor. Diğer üye ülkelerdeki düzenleyiciler, blok genelinde yasaların uyumlu uygulanmasını teşvik etmek için bu tür kararları izler.