Dopady GDPR na správy WhatsApp

GDPR a problém WhatsApp –

Už viackrát sme boli konfrontovaní s otázkou, či je používanie WhatsApp v súlade s ochranou údajov. Žiaľ, v súčasnosti túto otázku nemožno skutočne jasne a právne záväzne zodpovedať. Ani úrad na ochranu osobných údajov k tomu zatiaľ neposkytol žiadne informácie.

Podľa názoru niektorých odborných právnikov nie je používanie WhatsApp vo firme bez problémov v súlade s ochranou údajov, pretože je s ním spojených mnoho základných obáv o ochranu údajov.

Ak sa WhatsApp používa na služobných telefónoch, všetky telefónne čísla v telefónnom zozname mobilného telefónu (t. j. aj pracovné kontakty) sa prenášajú na servery WhatsApp v USA. USA sa z hľadiska ochrany údajov považujú za nebezpečnú tretiu krajinu, pretože tamojšie zákonné predpisy o ochrane údajov sú interpretované výrazne slabšie ako v Rakúsku a EÚ. Správy, ktoré nie je možné doručiť okamžite, sa navyše na serveroch WhatsApp ukladajú až na 30 dní. To zahŕňa aj akékoľvek informácie o spoločnosti a príslušných obchodných procesoch, ak sa prostredníctvom nich vymieňajú.

Na druhej strane je komunikácia šifrovaná typu end-to-end a WhatsApp disponuje od marca 2018 certifikáciou Privacy-Shield (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active), ktorú možno prípadne použiť ako právny základ pre používanie aplikácie WhatsApp (dohoda EU-US Privacy-Shield upravuje ochranu údajov medzi EÚ a USA). Informácie o ochrane údajov ako aj smernice samotného WhatsAppu sú dostupné pod odkazom https://www.whatsapp.com/legal/#key-updates.

V súlade so všeobecným nariadením o ochrane údajov (čl. 15 ods. 3 GDPR) majú dotknuté osoby právo požiadať o kópiu osobných údajov, ktoré sú predmetom spracúvania. Ak bola žiadosť podaná v elektronickej forme, zodpovedná osoba musí informácie poskytnúť v bežnom elektronickom formáte. Podľa WhatsApp má byť zákonná požiadavka na právo na informácie implementovaná najneskôr od mája.

Podľa nášho odhadu by preto bolo dôležité upraviť, čo sa môže komunikovať prostredníctvom WhatsApp: interné firemné, citlivé údaje alebo údaje podliehajúce profesijnému tajomstvu atď. by sa nemali komunikovať cez WhatsApp. Vyžaduje sa tu, aby existoval výslovný pokyn vedenia spoločnosti zamestnancom (napr. prostredníctvom smerníc o ochrane údajov a IT bezpečnosti), aby tak nerobili. Jednoduché dohodnutie termínu a pod. však považujeme za skôr neproblematické.

Stanovisko úradu k ochrane údajov by bolo v každom prípade vítané, aby sa jasne definovali práva a povinnosti pri používaní služieb messenger.