A GDPR hatása a WhatsApp üzenetekre

A GDPR és a WhatsApp – probléma

Többször is szembesültünk már azzal a kérdéssel, hogy a WhatsApp használata adatvédelmi szempontból megfelelő-e. Sajnos jelenleg ezt a kérdést nem lehet egyértelműen és jogbiztonsággal megválaszolni. Még az adatvédelmi hatóság sem ad erre vonatkozó tájékoztatást a mai napig.

Néhány szakértő jogász véleménye szerint a WhatsApp vállalati használata nem tekinthető aggálytalannak adatvédelmi szempontból, mivel számos alapvető adatvédelmi kérdést vet fel.

Ha a WhatsAppot céges telefonokon használják, a mobiltelefon telefonkönyvében lévő összes telefonszám (azaz a szakmai kapcsolatok is) továbbításra kerül a WhatsApp amerikai szervereire. Az USA adatvédelmi szempontból nem biztonságos harmadik országnak minősül, mivel az ottani törvényi adatvédelmi szabályozások jelentősen gyengébbek, mint Ausztriában és az EU-ban. Emellett azokat az üzeneteket, amelyeket nem lehet azonnal kézbesíteni, a WhatsApp szerverein akár 30 napig is tárolják. Ez magában foglal minden olyan információt is a vállalatról és az üzleti folyamatokról, ha ezeken keresztül cserélik ki őket.

Másrészt a kommunikáció végpontok közötti titkosítással ellátott, és a WhatsApp 2018 márciusa óta rendelkezik Privacy Shield tanúsítvánnyal (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active), amely adott esetben jogalapként szolgálhat a WhatsApp használatához (az EU-USA Privacy Shield megállapodás szabályozza az EU és az USA közötti adatvédelmet). A WhatsApp adatvédelmi tájékoztatója és irányelvei a https://www.whatsapp.com/legal/#key-updates linken érhetők el.

Az Általános Adatvédelmi Rendelet (GDPR 15. cikk (3) bekezdés) értelmében az érintetteknek joguk van másolatot kérni a feldolgozás tárgyát képező személyes adatokról. Amennyiben a kérelem elektronikus úton érkezik, az adatkezelőnek az információkat általánosan használt elektronikus formátumban kell rendelkezésre bocsátania. A WhatsApp szerint legkésőbb májustól bevezetik az adatokhoz való hozzáférés jogára vonatkozó törvényi előírást.

Becslésünk szerint ezért fontos lenne szabályozni, hogy mi kommunikálható a WhatsAppon keresztül: vállalati belső, érzékeny vagy szakmai titoktartás alá eső adatok stb. nem kommunikálhatók a WhatsAppon. Itt szükséges, hogy a vezetés kifejezett utasítást adjon az alkalmazottaknak (pl. az adatvédelmi és IT-biztonsági irányelveken keresztül), hogy ezt ne tegyék. Egy egyszerű időpont-egyeztetést vagy hasonlót azonban inkább aggálytalannak tekintünk.

Mindenesetre üdvözlendő lenne egy adatvédelmi állásfoglalás a hatóság részéről, amely egyértelműen meghatározná a messenger szolgáltatások használatával kapcsolatos jogokat és kötelezettségeket.