Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) έλαβε επείγουσα δεσμευτική απόφαση: η Irish SA δεν θα λάβει τελικά μέτρα αλλά θα διεξάγει νόμιμη έρευνα

15 July 2021 EDPB

Βρυξέλλες, 15 Ιουλίου - Το ΕΣΠΔ έλαβε την πρώτη επείγουσα δεσμευτική απόφασή του σύμφωνα με το άρθρο 66, παρ. 2 του ΓΚΠΔ κατόπιν αιτήματος της εποπτικής αρχής του Αμβούργου (DE-HH SA), αφού η SA είχε λάβει προσωρινά μέτρα έναντι της Facebook Ireland Ltd (Facebook IE) βάσει του άρθρου 66, παρ. 1 του ΓΚΠΔ. Η DE-HH SA διέταξε την απαγόρευση της επεξεργασίας δεδομένων χρήστη της WhatsApp από τη Facebook IE για δικούς τους σκοπούς, κατόπιν αλλαγής στους Όρους Παροχής Υπηρεσιών και την Πολιτική Απορρήτου που ισχύουν για τους Ευρωπαίους χρήστες της WhatsApp Ireland Ltd.

Το ΕΣΠΔ αποφάσισε ότι δεν πληρούνται οι όροι για την απόδειξη της ύπαρξης παράβασης και της επείγουσας ανάγκης. Επομένως, το ΕΣΠΔ αποφάσισε ότι δεν χρειάζεται να ληφθούν τελικά μέτρα από την IE SA κατά της Facebook IE σε αυτήν την περίπτωση.

Με βάση τα αποδεικτικά στοιχεία που προσκομίστηκαν, το ΕΣΠΔ κατέληξε στο συμπέρασμα ότι υπάρχει μεγάλη πιθανότητα η Facebook IE να επεξεργάζεται ήδη δεδομένα χρηστών της WhatsApp IE ως (από κοινού) υπεύθυνος επεξεργασίας για τον κοινό σκοπό της ασφάλειας, της εγγύησης και της ακεραιότητας της WhatsApp IE και των άλλων εταιρειών της Facebook και για τον κοινό σκοπό της βελτίωσης των προϊόντων των εταιρειών της Facebook. Ωστόσο, παρά τις διάφορες αντιφάσεις, ασάφειες και αβεβαιότητες που επισημαίνονται στις πληροφορίες που εμφανίζονται στον χρήστη της WhatsApp, ορισμένες γραπτές δεσμεύσεις που υιοθετήθηκαν από τις γραπτές παρατηρήσεις της Facebook IE και της WhatsApp IE, το ΕΣΠΔ κατέληξε στο συμπέρασμα ότι δεν είναι σε θέση να προσδιορίσει με βεβαιότητα ποια εργασία επεξεργασίας πραγματοποιείται στην πραγματικότητα και με ποια ιδιότητα.

Επιπλέον, δεν υπήρχαν αρκετές πληροφορίες για να εξακριβωθεί με βεβαιότητα εάν η Facebook IE έχει ήδη ξεκινήσει την επεξεργασία δεδομένων από χρήστες της WhatsApp IE ως (από κοινού) υπεύθυνος επεξεργασίας με σκοπό τις διαφημιστικές ανακοινώσεις και το άμεσο μάρκετινγκ και τη συνεργασία με τις άλλες εταιρείες της Facebook. Ούτε θα μπορούσε να εξακριβωθεί εάν η Facebook IE έχει ήδη ξεκινήσει ή σύντομα θα ξεκινήσει την επεξεργασία δεδομένων από χρήστες της WhatsApp IE ως (από κοινού) υπεύθυνος επεξεργασίας για δικό της σκοπό σε σχέση με το WhatsApp Business API.

Όσον αφορά την ύπαρξη επείγουσας ανάγκης, το ΕΣΠΔ θεώρησε ότι το άρθρο 61, παρ. 8 του ΓΚΠΔ δεν ήταν εφαρμόσιμο, καθώς η DE-HH SA δεν απέδειξε ότι η IE SA δεν παρείχε πληροφορίες στο πλαίσιο επίσημης αίτησης αμοιβαίας συνδρομής βάσει του άρθρου 61 του ΓΚΠΔ. Επιπλέον, το ΕΣΠΔ αποφάσισε ότι η έγκριση των επικαιροποιημένων όρων, που περιέχουν παρόμοια προβληματικά στοιχεία με την προηγούμενη έκδοση, δεν μπορεί, από μόνη της, να δικαιολογήσει την επείγουσα κατάσταση για το ΕΣΠΔ ώστε να διατάξει την Κεντρική Εποπτική Αρχή (LSA) να λάβει τελικά μέτρα σύμφωνα με το άρθρο 66 παρ. 2 του ΓΚΠΔ. Συνεπώς, το ΕΣΠΔ θεώρησε ότι δεν υπάρχει επείγουσα ανάγκη για τη LSA να λάβει τελικά μέτρα σε αυτήν την περίπτωση.

Λαμβάνοντας υπόψη την υψηλή πιθανότητα παραβάσεων, ιδίως για λόγους ασφάλειας, εγγύησης και ακεραιότητας της WhatsApp IE και των άλλων εταιρειών της Facebook, καθώς και για τη βελτίωση των προϊόντων των εταιρειών της Facebook, το ΕΣΠΔ θεώρησε ότι αυτό το θέμα απαιτεί άμεσες, περαιτέρω έρευνες. Ειδικότερα, για να γίνει η εξακρίβωση για το εάν, στην πράξη, οι εταιρείες της Facebook πραγματοποιούν εργασίες επεξεργασίας που συνεπάγονται τον συνδυασμό ή τη σύγκριση δεδομένων από χρήστες της WhatsApp IE με άλλα σύνολα δεδομένων που επεξεργάζονται άλλες εταιρείες της Facebook στο πλαίσιο άλλων εφαρμογών ή υπηρεσιών που προσφέρονται από τις εταιρείες της Facebook, έχοντας διευκολυνθεί, μεταξύ άλλων, από τη χρήση μοναδικών αναγνωριστικών. Για αυτόν τον λόγο, το ΕΣΠΔ ζητά από την IE SA να διεξαγάγει, κατά προτεραιότητα, νόμιμη έρευνα  για να προσδιορίσει εάν πραγματοποιούνται τέτοιες δραστηριότητες επεξεργασίας ή όχι, και εάν ναι, εάν έχουν την κατάλληλη νομική βάση σύμφωνα με το άρθρο 5 παρ.1 στοιχείο α) και το άρθρο 6 παρ. 1 του ΓΚΠΔ.

Επιπλέον, λαμβάνοντας υπόψη την έλλειψη πληροφοριών σχετικά με τον τρόπο επεξεργασίας των δεδομένων για σκοπούς μάρκετινγκ, τη συνεργασία με τις άλλες εταιρείες της Facebook και σε σχέση με το WhatsApp Business API, το ΕΣΠΔ καλεί την IE SA να διερευνήσει περαιτέρω τον ρόλο της Facebook IE, δηλαδή εάν η Facebook IE ενεργεί ως εκτελών την επεξεργασία ή ως (από κοινού υπεύθυνος επεξεργασίας), σε σχέση με αυτές τις διαδικασίες επεξεργασίας.

Επόμενα βήματα:

Αυτή η επείγουσα δεσμευτική απόφαση απεστάλη στην IE SA, την DE-HH SA και τις άλλες ενδιαφερόμενες SA, ενώ η Facebook IE και η WhatsApp IE ενημερώθηκαν σχετικά με αυτήν την επείγουσα δεσμευτική απόφαση.

Η επείγουσα δεσμευτική απόφαση θα δημοσιοποιηθεί στον ιστότοπο του ΕΣΠΔ μετά την αξιολόγηση του κατά πόσον ορισμένα μέρη της απόφασης πρέπει να διορθωθούν προκειμένου να αποφευχθεί η δημοσιοποίηση πληροφοριών που καλύπτονται από το επαγγελματικό απόρρητο.

Αυτή η τρέχουσα απόφαση δεν προδικάζει οποιεσδήποτε αξιολογήσεις που μπορεί να κληθεί να κάνει το ΕΣΠΔ σε άλλες περιπτώσεις, συμπεριλαμβανομένων των ίδιων μερών.

 

Σημείωση προς τους συντάκτες:

Τι προβλέπει το άρθρο 66 του ΓΚΠΔ;

Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων εντός της επικράτειάς της, δύναται να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες.

Αυτά τα μέτρα υιοθετούνται κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας του ΓΚΠΔ (άρθρο 63 του ΓΚΠΔ) ή την υπηρεσία μίας στάσης (άρθρο 60 του ΓΚΠΔ). Σε αυτήν την περίπτωση, το άρθρο 66 του ΓΚΠΔ επιτρέπει στις εποπτικές αρχές να λαμβάνουν αμέσως προσωρινά μέτρα.

Η εποπτική αρχή που εκδίδει ανάλογα προσωρινά μέτρα πρέπει να κοινοποιεί τα εν λόγω μέτρα και τους λόγους για την έγκρισή τους, χωρίς αδικαιολόγητη καθυστέρηση, στις άλλες ενδιαφερόμενες εποπτικές αρχές, στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Ευρωπαϊκή Επιτροπή.

Εάν η εποπτική αρχή που έχει λάβει ανάλογα προσωρινά μέτρα κρίνει ότι πρέπει να ληφθούν επειγόντως τελικά μέτρα, μπορεί να ζητήσει επείγουσα γνωμοδότηση ή επείγουσα δεσμευτική απόφαση από το ΕΣΠΔ, παρέχοντας τους λόγους για την επείγουσα ανάγκη για να διατάξει την έγκριση οριστικών μέτρων, κατά παρέκκλιση από τις συνήθεις διαδικασίες συνεργασίας και συνεκτικότητας.