Brusel 15. července – EDPB přijal na žádost hamburského dozorového úřadu (dále jen „dozorový úřad DE-HH“) své první naléhavé závazné rozhodnutí podle čl. 66 odst. 2 GDPR poté, co tento dozorový úřad přijal na základě čl. 66 odst. 1 GDPR předběžná opatření vůči společnosti Facebook Ireland Ltd (dále jen „Facebook IE“). Dozorový úřad DE-HH nařízením zakázal společnosti Facebook IE zpracovávat pro své vlastní účely údaje uživatelů aplikace WhatsApp v návaznosti na změnu podmínek poskytování služby a zásad ochrany osobních údajů platných pro evropské zákazníky společnosti WhatsApp Ireland Ltd.
EDPB konstatoval, že nejsou splněny požadavky na doložení existence porušení předpisů a naléhavosti. EDPB proto rozhodl, že v tomto případě nemusí irský dozorový úřad vůči společnosti Facebook IE přijmout konečná opatření.
Na základě předložených důkazů dospěl EDPB k závěru, že je vysoce pravděpodobné, že společnost Facebook IE jako (společný) správce již zpracovává údaje zákazníků společnosti WhatsApp IE pro společné účely zajištění bezpečnosti, zabezpečení a integrity na straně společnosti WhatsApp IE a dalších společností Facebook a pro společný účel zlepšování produktů společností Facebook. Vzhledem k různým rozporům, nejednoznačnostem a nejasnostem zaznamenaným v informacích poskytovaných uživatelům aplikace WhatsApp, v některých písemných závazcích přijatých společností Facebook IE a v písemných podáních společnosti WhatsApp IE však EDPB dospěl k závěru, že nelze s jistotou určit, k jakým operacím zpracování ve skutečnosti dochází a na jaké pozici.
Kromě toho nebyly k dispozici dostatečné informace, aby mohlo být s jistotou konstatováno, že společnost Facebook IE již začala jako (společný) správce zpracovávat údaje zákazníků společnosti WhatsApp IE pro své vlastní účely marketingových sdělení a přímého marketingu a spolupráce s ostatními společnostmi Facebook. Nepodařilo se zjistit ani to, zda společnost Facebook IE již začala nebo brzy začne jako (společný) správce pro své vlastní účely zpracovávat údaje zákazníků společnosti WhatsApp IE ve vztahu k produktu WhatsApp Business API.
V otázce naléhavosti má sbor EDPB za to, že nelze použít ustanovení čl. 61 odst. 8 GDPR, protože dozorový úřad DE-HH nedoložil, že irský dozorový úřad neposkytl informace v souvislosti s formální žádostí o vzájemnou pomoc podle článku 61 GDPR. EDPB navíc rozhodl, že přijetí aktualizovaných podmínek poskytování služby, které obsahují podobné problematické prvky jako předchozí verze, samo o sobě není dostatečným důvodem ke konstatování naléhavosti, na jejímž základě by EDPB vedoucímu dozorovému úřadu uložil přijetí konečných opatření podle čl. 66 odst. 2 GDPR. EDPB proto konstatoval, že pro přijetí konečných opatření vedoucím dozorovým úřadem není v tomto případě splněn požadavek na naléhavost.
Vzhledem k vysoké pravděpodobnosti porušení předpisů zejména v souvislosti s účelem zajištění bezpečnosti, zabezpečení a integrity na straně společnosti WhatsApp IE a dalších společností Facebook a v souvislosti se zlepšováním produktů společností Facebook EDPB usoudil, že tato záležitost vyžaduje neprodleně další šetření. Jeho cílem bude zejména ověřit, zda společnosti Facebook v praxi provádějí operace zpracování, které spočívají ve slučování nebo srovnávání údajů zákazníků společnosti WhatsApp IE s jinými soubory údajů zpracovanými jinými společnostmi Facebook v souvislosti s jinými aplikacemi nebo službami nabízenými společnostmi Facebook, které usnadňuje mimo jiné používání jedinečných identifikátorů. Z tohoto důvodu sbor EDPB požaduje, aby irský dozorový úřad přednostně provedl zákonné šetření s cílem zjistit, zda k takovým operacím zpracování dochází či nikoli a případně zda pro takové operace existuje řádný právní základ podle čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 GDPR.
Vzhledem k absenci informací týkajících se způsobu, jakým jsou údaje zpracovávány pro marketingové účely a pro účely spolupráce s ostatními společnostmi Facebook a ve vztahu k produktu WhatsApp Business API, sbor EDPB dále irský dozorový úřad vyzývá, aby prošetřil úlohu společnosti Facebook IE, tj. zda společnost Facebook IE jedná u těchto operací zpracování jako zpracovatel nebo jako (společný) správce.
Další kroky:
Toto naléhavé závazné rozhodnutí bylo zasláno irskému dozorovému úřadu, dozorovému úřadu DE-HH a dalším dotčeným dozorovým úřadům a společnosti Facebook IE a WhatsApp IE o něm byly zpraveny.
Toto naléhavé závazné rozhodnutí bude zveřejněno na internetových stránkách EDPB, jakmile bude posouzeno, zda není třeba některé části rozhodnutí skrýt, aby nebyly zveřejněny informace, které podléhají služebnímu tajemství.
Tímto rozhodnutím nejsou dotčena případná posouzení, ke kterým bude EDPB vyzván v jiných případech, byť by se týkala týchž stran.
Poznámka pro redaktory:
Co je článek 66 GDPR?
Dozorový úřad může za výjimečných okolností, kdy se domnívá, že je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů na svém území, přijmout předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce.
Tato opatření jsou přijímána na základě odchylky od mechanismu jednotnosti podle nařízení GDPR (článek 63 GDPR) nebo mechanismu jednotného kontaktního místa (článek 60 GDPR). V tomto případě umožňuje ustanovení článku 66 GDPR dozorovým úřadům neprodleně přijmout předběžná opatření.
Dozorový úřad, který vydá taková předběžná opatření, je povinen oznámit tato opatření a důvody pro jejich přijetí neprodleně ostatním dotčeným dozorovým úřadům, Evropskému sboru pro ochranu osobních údajů a Evropské komisi.
Pokud se dozorový úřad, který přijal taková předběžná opatření, domnívá, že je třeba naléhavě přijmout konečná opatření, může požádat EDPB o naléhavé stanovisko nebo naléhavé závazné rozhodnutí, přičemž uvede důvody naléhavé potřeby uložit přijetí konečných opatření odchylně od standardních postupů spolupráce a jednotnosti.