Europski odbor za zaštitu podataka (EDBP) donosi hitnu obvezujuću odluku: Irsko nadzorno tijelo ne treba poduzimati konačne mjere, nego provesti zakonom propisanu istragu

15 July 2021 EDPB

Bruxelles, 15. srpnja – EDPB je donio svoju prvu hitnu obvezujuću odluku u skladu s člankom 66. stavkom 2. Opće uredbe o zaštiti podataka (Opća uredba) na zahtjev nadzornog tijela iz Hamburga (DE-HH SA), nakon što je nadzorno tijelo donijelo privremene mjere prema društvu Facebook Ireland Ltd (Facebook IE) na temelju članka 66. stavka 1. Opće uredbe. Nadzorno tijelo DE-HH SA naložilo je društvu Facebook IE zabranu obrade korisničkih podataka aplikacije WhatsApp u vlastite svrhe nakon promjene politike uvjeta pružanja usluga i privatnosti koja se primjenjuje na europske korisnike društva WhatsApp Ireland Ltd.

EDPB je odlučio da nisu ispunjeni uvjeti za dokazivanje postojanja povrede prava i hitnosti. Stoga je EDPB odlučio da irsko nadzorno tijelo u ovom predmetu ne treba donijeti konačne mjere protiv društva Facebook IE.

Na temelju dostavljenih dokaza EDPB je zaključio da postoji velika vjerojatnost da Facebook IE već obrađuje korisničke podatke iz aplikacije WhatsApp IE kao (zajednički) voditelj obrade za zajedničku svrhu sigurnosti, zaštite i integriteta društva WhatsApp IE i drugih društava na Facebooku te u zajedničku svrhu poboljšanja proizvoda društava Facebooka. Međutim, s obzirom na razne proturječnosti, dvosmislenosti i neizvjesnosti koje su primijećene u korisničkim podatcima aplikacije WhatsApp i nekim pisanim obvezama koje su preuzeli Facebook IE i WhatsApp IE, EDPB je zaključio da ne može sa sigurnošću utvrditi koji se postupci obrade stvarno provode i u kojem svojstvu.

Osim toga, nije bilo dovoljno informacija na temelju kojih bi se sa sigurnošću utvrdilo je li Facebook IE već počeo obrađivati korisničke podatke aplikacije WhatsApp IE kao (zajednički) voditelj obrade za vlastite potrebe marketinških komunikacija i izravnog marketinga te suradnju s drugim društvima Facebooka. Također se ne može utvrditi je li Facebook IE već započeo ili će uskoro početi obrađivati korisničke podatke aplikacije WhatsApp IE kao (zajednički) voditelj obrade za vlastite potrebe u odnosu na WhatsApp Business API.

Kad je riječ o hitnosti, EDPB je smatrao da članak 61. stavak 8. Opće uredbe nije primjenjiv jer nadzorno tijelo DE-HH SA nije dokazalo da irsko nadzorno tijelo nije dostavilo informacije u kontekstu službenog zahtjeva za uzajamnu pomoć u skladu s člankom 61. Opće uredbe. Nadalje, EDPB je odlučio je da donošenje ažuriranih uvjeta, koji sadržavaju slične problematične elemente kao i prethodna verzija, ne može samo po sebi opravdati hitnost da EDBP naloži vodećem nadzornom tijelu donošenje konačnih mjera u skladu s člankom 66. stavkom 2. Opće uredbe. Stoga je EDPB smatrao da vodeće nadzorno tijelo ne mora hitno donijeti konačne mjere u ovom predmetu.

S obzirom na veliku vjerojatnost povreda, posebno u svrhu sigurnosti, zaštite i integriteta društva WhatsApp IE i drugih poduzeća Facebooka, kao i u svrhu poboljšanja proizvoda društava Facebooka, EDPB je smatrao da ovo pitanje zahtijeva brzo provođenje daljnjih istraga. Osobito kako bi se provjerilo provode li društva Facebooka u praksi postupke obrade koji podrazumijevaju kombiniranje ili usporedbu korisničkih podataka aplikacije WhatsApp IE s drugim skupovima podataka koje su obradila druga društva Facebooka u kontekstu drugih aplikacija ili usluga koje nude društva Facebooka, što je, među ostalim, pojednostavljeno upotrebom jedinstvenih identifikatora. Zbog toga EDPB zahtijeva od irskog nadzornog tijela da prioritetno provede zakonom propisanu istragu kako bi se utvrdilo provode li se takve aktivnosti obrade i, ako je to slučaj, imaju li odgovarajuću pravnu osnovu u skladu s člankom 5. stavkom 1. točkom (a) i člankom 6. stavkom 1. Opće uredbe.

Osim toga, uzimajući u obzir nedostatak informacija o tome kako se podatci obrađuju u marketinške svrhe, suradnju s drugim društvima Facebooka i u odnosu na WhatsApp Business API, EDPB poziva irsko nadzorno tijelo da dodatno istraži ulogu društva Facebook IE, tj. djeluje li Facebook IE kao izvršitelj obrade ili kao (zajednički voditelj obrade) u pogledu tih postupaka obrade.

Sljedeći koraci:

Ta hitna obvezujuća odluka upućena je irskom nadzornom tijelu, nadzornom tijelu DE-HH SA i drugim predmetnim nadzornim tijelima, a Facebook IE i WhatsApp IE obaviješteni su o toj hitnoj obvezujućoj odluci.

Hitna obvezujuća odluka objavit će se na internetskim stranicama EDPB-a nakon procjene treba li neke dijelove odluke redigirati kako bi se izbjeglo otkrivanje informacija obuhvaćenih poslovnom tajnom.

Ovom se trenutačnom odlukom ne dovode u pitanje bilo kakve ocjene koje bi EDPB mogao biti pozvan donijeti u drugim predmetima, uključujući s istim strankama.

 

Napomena za urednike:

Što je članak 66. Opće uredbe o zaštiti podataka?

U iznimnim okolnostima, ako nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika na njegovu državnom području, ono može donijeti privremene mjere koje imaju pravni učinak na njihovu državnom području u trajanju od najviše tri mjeseca.

Te se mjere donose odstupajući od mehanizma konzistentnosti Opće uredbe o zaštiti podataka (članak 63. Opće uredbe) ili jedinstvenog mehanizma (članak 60. Opće uredbe). U tom slučaju, člankom 66. Opće uredbe nadzornim se tijelima omogućuje da odmah donesu privremene mjere.

Nadzorno tijelo koje izdaje takve privremene mjere mora o tim mjerama i razlozima za njihovo donošenje bez nepotrebne odgode obavijestiti druga predmetna nadzorna tijela, EDPB i Europsku komisiju.

Ako nadzorno tijelo koje je poduzelo takve privremene mjere smatra da je potrebno hitno donijeti konačne mjere, može zatražiti hitno mišljenje ili hitnu obvezujuću odluku Europskog odbora za zaštitu podataka, navodeći razloge za hitnu potrebu za donošenjem konačnih mjera odstupanjem od standardnih postupaka suradnje i dosljednosti.