Europees Comité voor gegevensbescherming stelt dringend bindend besluit vast: Ierse toezichthoudende autoriteit moet geen definitieve maatregelen nemen maar een wettelijk onderzoek uitvoeren

15 July 2021 EDPB

Brussel, 15 juli – Het Europees Comité voor gegevensbescherming (hierna: “het Comité”) heeft op verzoek van de toezichthoudende autoriteit (TA) van Hamburg zijn eerste dringende bindende besluit op grond van artikel 66, lid 2, van de algemene verordening gegevensbescherming (AVG) vastgesteld nadat deze op grond van artikel 66, lid 1, voorlopige maatregelen had genomen ten aanzien van Facebook Ireland Ltd (Facebook IE). De TA van Hamburg heeft Facebook Ireland Ltd verboden gebruiksgegevens van WhatsApp Ireland Ltd (WhatsApp IE) te verwerken voor hun eigen doeleinden na een wijziging in de gebruiksvoorwaarden en privacyverklaring die van toepassing zijn op Europese WhatsApp-gebruikers.

Het Comité heeft besloten dat onvoldoende is aangetoond dat er sprake is van een inbreuk en urgentie. Daarom heeft het Comité besloten dat de Ierse TA in dit geval geen definitieve maatregelen tegen Facebook IE hoeft te nemen.

Op basis van het verstrekte bewijsmateriaal concludeerde het Comité dat het zeer waarschijnlijk is dat Facebook IE als (gezamenlijke) verwerkingsverantwoordelijke al gebruiksgegevens van WhatsApp IE verwerkt voor het gemeenschappelijke doel van veiligheid, beveiliging en integriteit van WhatsApp IE en de andere Facebook-bedrijven, en voor het gemeenschappelijke doel van verbetering van de producten van de Facebook-bedrijven. Met het oog op de verschillende tegenstrijdigheden, dubbelzinnigheden en onzekerheden in de informatie van WhatsApp voor gebruikers, een aantal schriftelijke toezeggingen door Facebook IE en WhatsApp IE heeft het Comité echter geconcludeerd dat het niet kan bepalen welke verwerkingsactiviteiten daadwerkelijk worden uitgevoerd en op welke manier.

Bovendien was er onvoldoende informatie beschikbaar om met zekerheid vast te stellen of Facebook IE als (gezamenlijke) verwerkingsverantwoordelijke al is begonnen met het verwerken van gegevens van WhatsApp-gebruikers voor zijn eigen doeleinden, te weten marketingcommunicatie, direct marketing en samenwerking met andere Facebook-bedrijven. Evenmin kon worden vastgesteld of Facebook IE al begonnen is of binnenkort begint met het verwerken van gebruikersgegevens van WhatsApp IE die afkomstig zijn van WhatsApp Business API voor eigen doeleinden als (gezamenlijke) verwerkingsverantwoordelijke.

Met betrekking tot het bestaan van urgentie was het Comité van oordeel dat artikel 61, lid 8, AVG niet van toepassing was, aangezien de TA van Hamburg niet heeft aangetoond dat de Ierse TA heeft verzuimd om informatie te verstrekken in het kader van een formeel verzoek om wederzijdse bijstand uit hoofde van artikel 61, AVG. Bovendien heeft het Comité besloten dat de goedkeuring van de geactualiseerde voorwaarden, die soortgelijke problematische elementen bevatten als de vorige versie, de spoedeisendheid voor het Comité onvoldoende motiveert om de leidende toezichthoudende autoriteit op grond van artikel 66, lid 2, AVG definitieve maatregelen te laten nemen. Het Comité is daarom van oordeel dat er in dit geval geen sprake is van urgentie en dat de leidende toezichthoudende autoriteit geen dringende definitieve maatregelen hoeft te nemen.

Gezien de hoge waarschijnlijkheid van inbreuken, met name met het oog op de veiligheid, beveiliging en integriteit van WhatsApp IE en andere Facebook-bedrijven, evenals het doel om de producten van de Facebook-bedrijven te verbeteren, was het Comité van oordeel dat deze kwestie snel verder moet worden onderzocht. Er moet met name worden nagegaan of de Facebook-bedrijven in de praktijk verwerkingsactiviteiten uitvoeren waarbij gebruiksgegevens van WhatsApp IE worden gecombineerd of vergeleken met andere gegevenssets die door andere Facebook-bedrijven worden verwerkt in het kader van door hen aangeboden apps of diensten, wat onder ander wordt vergemakkelijkt door het gebruik van identificatienummers. Daarom verzoekt het Comité de Ierse TA om met prioriteit een wettelijk onderzoek te starten om te bepalen of dergelijke verwerkingsactiviteiten plaatsvinden of niet, en zo ja, of voor die activiteiten een passende rechtsgrondslag voor bestaat op grond van artikel 5, lid 1, onder a) en artikel 6, lid 1, AVG.

Bovendien spoort het Comité de Ierse TA, gezien het gebrek aan informatie over de wijze waarop gegevens worden verwerkt voor marketingdoeleinden, samenwerking met de andere Facebook-bedrijven en in verband met WhatsApp Business API, aan om de rol van Facebook IE verder te onderzoeken, d.w.z. of dit bedrijf bij deze verwerkingsactiviteiten optreedt als verwerker of als (gezamenlijke) verwerkingsverantwoordelijke.

Vervolgstappen:

Dit dringende bindende besluit is gericht aan de Ierse TA, de TA van Hamburg en de andere betrokken toezichthoudende autoriteiten. Facebook IE en WhatsApp IE zijn op de hoogte gebracht van dit dringende bindende besluit.

Dit dringende bindende besluit zal worden gepubliceerd op de website van het Comité nadat is beoordeeld of sommige delen van het besluit moeten worden bewerkt om te voorkomen dat ze door het beroepsgeheim gedekte informatie bevatten.

Dit besluit laat eventuele beoordelingen van het Comité in andere gevallen, ook met dezelfde partijen, onverlet.

 

Informatie voor redacteurs:

Wat is artikel 66, AVG?

In buitengewone omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen op haar grondgebied te beschermen, voorlopige maatregelen nemen voor maximaal drie maanden die rechtsgevolgen hebben op het eigen grondgebied.

Deze maatregelen worden genomen in afwijking van het coherentiemechanisme van de AVG (artikel 63, AVG) of van het één-loketmechanisme (artikel 60, AVG). In dit geval kunnen toezichthoudende autoriteiten op grond van artikel 66, AVG onmiddellijk voorlopige maatregelen nemen.

De toezichthoudende autoriteit deelt die maatregelen met opgave van de redenen onverwijld mee aan de andere betrokken toezichthoudende autoriteiten, het Comité en de Europese Commissie.

Wanneer een toezichthoudende autoriteit die dergelijke voorlopige maatregelen heeft genomen van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Comité om een dringend advies of een dringend bindend besluit verzoeken met opgave van redenen voor de dringende noodzaak om in afwijking van de standaard samenwerkings- en coherentieprocedures definitieve maatregelen te nemen.