Bíróság elé kerül a WhatsApp adatvédelme

2026 márciusában csoportos pert indítottak Kaliforniában a Meta Platforms, a WhatsApp és az Accenture nemzetközi tanácsadó vállalat ír székhelyű cége ellen. A Sirází és társai által indított per szerint a vállalat félrevezette a felhasználók milliárdjait. A WhatsApp évek óta azt hirdeti, hogy üzeneteit végponttól végpontig terjedő titkosítással látja el, és azokhoz „még a WhatsApp sem fér hozzá”.

A per egyik legsúlyosabb állítása az Accenture szerepére vonatkozik. A vádirat szerint a WhatsApp 2021 és 2022 között az Accenture számos alvállalkozóját bízta meg az üzenetek tartalmának ellenőrzésével, így a külsős munkavállalók állítólag betekinthettek a felhasználók magánbeszélgetéseibe.

A Bloombergnek nyilatkozó Larkin Fordyce, az Accenture texasi irodájának korábbi munkatársa felidézte: a tartalomellenőrök kezdetben a Facebook csapatán keresztül – akik „bármilyen adatot képesek voltak lekérni és továbbítani” – fértek hozzá az információkhoz, később azonban már közvetlen hozzáférést kaptak a rendszerekhez.

„Úgy éreztem, a kormánynak tett vallomásom hasznos az Egyesült Államok számára” – nyilatkozta Fordyce a Bloombergnek.

A hivatal jelentése rámutatott, hogy az Accenture többek között izraeli, indiai és kínai állampolgárokat is alkalmazott tartalomellenőrként. Ők az amerikai kollégáikkal azonos szintű hozzáférést kaptak a belső rendszerekhez, miközben az átvilágításuk csak felületesen történt meg. 

Az állításokat az amerikai Kereskedelmi Minisztérium Ipar- és Biztonsági Hivatala (BIS) vizsgálta ki az „Operation Sourced Encryption”  fedőnevű eljárás keretében.

2024-ben az amerikai Értékpapír- és Tőzsdefelügyelethez (SEC) benyújtott közérdekű bejelentés (whistleblower complaint) ugyanezeket az állításokat fogalmazta meg. Egy ilyen, szövetségi pénzügyi hatósághoz érkező bejelentés elvileg kötelező erejű vizsgálatot vonhat maga után, különösen, ha felmerül a befektetők félrevezetése a vállalat alapvető biztonsági ígéreteivel kapcsolatban.

Will Cathcart, a WhatsApp igazgatója azzal utasította vissza a vádakat, hogy a keresetet ugyanaz az ügyvédi iroda nyújtotta be, amely az NSO Groupot is védte, miután annak kémszoftverével újságírókat és kormányzati tisztségviselőket vettek célba.

Az NSO Group egy izraeli kémszoftver-vállalat, amelyet a WhatsApp 2019-ben perelt be, és amellyel szemben 2025 májusában történelmi győzelmet aratott, amikor a bíróság kártérítés megfizetésére kötelezte a céget.

A Meta adatvédelmi múltja nem makulátlan: az amerikai Szövetségi Kereskedelmi Bizottság (FTC) 2019-ben rekordösszegű, ötmilliárd dolláros bírságot szabott ki a vállalatra súlyos adatvédelmi jogsértések miatt.

A forráskód zártsága miatt külső szakértők nem tudják ellenőrizni, hogy a titkosítás valóban a Meta állításainak megfelelően működik-e. Bár a WhatsApp a Signal nyílt forráskódú titkosítási protokollját használja, magának a Meta által módosított alkalmazásnak a kódja zárt, így annak tényleges működése nem átlátható.

Ez a titkosítási rendszer ugyanakkor nem fedi el a forgalmi adatokat, vagyis azt, hogy ki, kinek és mikor küldött üzenetet. 2025 szeptemberében Attaullah Baig, a WhatsApp korábbi biztonsági igazgatója pert indított a vállalat ellen, azt állítva, hogy mintegy 1500 mérnök rendelkezett korlátlan hozzáféréssel a felhasználói metaadatokhoz. Ezek az információk pontosan rögzítették, hogy a felhasználók kivel, mikor és milyen földrajzi helyről léptek kapcsolatba.

Amennyiben valaki a WhatsApp-beszélgetéseiről felhőalapú tárhelyre (például iCloudra vagy Google Drive-ra) készít mentést, de nem aktiválja a titkosított biztonsági mentés funkciót, az üzenetei titkosítatlan formában kerülnek a külső szolgáltatóhoz.

Az európai felhasználók – a joghatósági különbségek miatt – nem csatlakozhatnak a kaliforniai perhez. 

Az európai érintettek Írországban kereshetnek jogorvoslatot, ahol a WhatsApp kontinentális székhelye található. Az ír adatvédelmi hatóság (DPC) 2021-ben már kiszabott egy 225 millió eurós bírságot a vállalatra, mivel az megsértette az általános adatvédelmi rendelet (GDPR) átláthatósági előírásait.

Az ír hatóság és az Európai Adatvédelmi Testület (EDPB) között jelenleg is hatásköri vita zajlik. Ezzel párhuzamosan az Európai Unió Bírósága 2026 februárjában visszautalta az ügyet az Általános Törvényszék elé érdemi vizsgálatra. A tárgyalás pontos időpontja egyelőre nem ismert.

(A Bloomberg, Yahoo Finance, ClassAction.org, LatestLY, TechCrunch, RTE News, CJEU nyomán)

Kapcsolódó: