Bruksela, 15 lipca - EROD przyjęła pierwszą pilną wiążącą decyzję zgodnie z art. 66 ust. 2 RODO na wniosek niemieckiego organu nadzorczego kraju związkowego Hamburg po przyjęciu przez organ nadzorczy środków tymczasowych wobec Facebook Ireland Ltd (Facebook IE) na podstawie art. 66 ust. 1 RODO. Hamburski organ nadzorczy zakazał Facebook IE przetwarzanie danych użytkowników WhatsApp do własnych celów w następstwie zmiany regulaminu i polityki prywatności mających zastosowanie do europejskich użytkowników WhatsApp Ireland Ltd.
EROD stwierdziła, że nie zostały spełnione warunki pozwalające wykazać istnienie naruszenia i pilny charakter sprawy. W związku z tym EROD postanowiła, że irlandzki organ nadzorczy nie musi przyjmować środków o charakterze ostatecznym wobec Facebook IE w tej sprawie.
Na podstawie przedstawionych dowodów EROD stwierdziła, że istnieje duże prawdopodobieństwo, iż Facebook IE przetwarza już dane użytkowników WhatsApp IE jako (współ)administrator danych do wspólnego celu, jakim jest bezpieczeństwo, ochrona i integralność WhatsApp IE i innych spółek Facebooka, oraz we wspólnym celu poprawy produktów spółek Facebooka. Jednak w obliczu różnych sprzeczności, niejednoznaczności i niejasności odnotowanych w informacjach dla użytkowników WhatsApp, niektórych pisemnych zobowiązaniach podjętych przez Facebook IE oraz uwagach pisemnych WhatsApp IE, EROD stwierdziła, że nie jest w stanie ustalić z całą pewnością, które operacje przetwarzania są faktycznie przeprowadzane i w jakim charakterze.
Ponadto nie było wystarczających informacji, aby stwierdzić z całą pewnością, czy Facebook IE rozpoczął już przetwarzanie danych użytkowników WhatsApp IE jako (współ)administrator danych do własnych celów komunikacji marketingowej i marketingu bezpośredniego oraz współpracy z innymi spółkami Facebooka. Nie można również ustalić, czy Facebook IE rozpoczął już lub wkrótce rozpocznie przetwarzanie danych użytkownika WhatsApp IE jako (współ)administrator danych do własnego celu w odniesieniu do narzędzia WhatsApp Business API.
Jeżeli chodzi o pilny charakter sprawy, EROD uznała, że art. 61 ust. 8 RODO nie ma zastosowania, ponieważ hamburski organ nadzorczy nie wykazał, że irlandzki organ nadzorczy nie przedstawił informacji w kontekście formalnego wniosku o wzajemną pomoc na podstawie art. 61 RODO. Ponadto EROD zdecydowała, że przyjęcie zaktualizowanego regulaminu, który zawiera elementy podobne do poprzedniej wersji, nie może samo w sobie uzasadniać pilnej potrzeby nakazania wiodącemu organowi nadzorczemu przez EROD przyjęcia środków o charakterze ostatecznym na podstawie art. 66 ust. 2 RODO. EROD uznała zatem, że nie ma pilnej potrzeby, aby wiodący organ nadzorczy przyjął środki o charakterze ostatecznym w tym przypadku.
Biorąc pod uwagę wysokie prawdopodobieństwo naruszeń, w szczególności w celu zapewnienia bezpieczeństwa, ochrony i integralności WhatsApp IE i innych spółek Facebooka, a także w celu poprawy produktów spółek Facebooka, EROD uznała, że sprawa ta wymaga bezzwłocznego przeprowadzenia dalszych postępowań. Ma to się odbyć w szczególności w celu sprawdzenia, czy w praktyce spółki Facebooka prowadzą operacje przetwarzania, które wiążą się z połączeniem lub porównaniem danych użytkowników WhatsApp IE z innymi zbiorami danych przetwarzanych przez inne spółki Facebooka w kontekście innych aplikacji lub usług oferowanych przez spółki Facebooka, co ułatwia między innymi stosowanie niepowtarzalnych identyfikatorów. Z tego względu EROD zwraca się do irlandzkiego organu nadzorczego o przeprowadzenie, w trybie pilnym, postępowania w celu ustalenia, czy takie czynności przetwarzania mają miejsce, a jeśli tak, to czy mają one właściwą podstawę prawną na mocy art. 5 ust. 1 lit. a) i art. 6 ust. 1 RODO.
Ponadto, biorąc pod uwagę brak informacji na temat sposobu przetwarzania danych do celów marketingowych oraz współpracy z innymi spółkami Facebooka oraz w odniesieniu do narzędzia WhatsApp Business API, EROD wzywa irlandzki organ nadzorczy do dalszego zbadania roli Facebook IE, tj. tego, czy Facebook IE działa jako podmiot przetwarzający, czy też (współ)administrator danych w odniesieniu do tych operacji przetwarzania.
Kolejne kroki:
Ta pilna wiążąca decyzja została skierowana do irlandzkiego organu nadzorczego, hamburskiego organu nadzorczego i innych organów nadzorczych, których sprawa dotyczy, a Facebook IE i WhatsApp IE poinformowano o tej pilnej wiążącej decyzji.
Pilna wiążąca decyzja zostanie podana do wiadomości publicznej na stronie internetowej EROD po dokonaniu oceny, czy niektóre części decyzji wymagają utajnienia, aby uniknąć ujawniania informacji objętych tajemnicą zawodową.
Obecna decyzja pozostaje bez uszczerbku dla wszelkich ocen, do przeprowadzenia których EROD może zostać wezwana w innych sprawach, w tym w sprawach dotyczących tych samych stron.
Uwaga dla redaktorów:
Czym jest art. 66 RODO?
W wyjątkowych okolicznościach, jeżeli organ nadzorczy uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, na jego terytorium, może przyjąć środki tymczasowe mające wywołać skutki prawne na jego własnym terytorium przez okres nieprzekraczający trzech miesięcy.
Środki te przyjmuje się w drodze odstępstwa od mechanizmu spójności, o którym mowa w RODO (art. 63 RODO) lub mechanizmu kompleksowej współpracy (art. 60 RODO). W takim przypadku art. 66 RODO umożliwia organom nadzorczym niezwłoczne przyjęcie środków tymczasowych.
Organ nadzorczy, który przyjmuje takie środki tymczasowe, musi niezwłocznie poinformować o tych środkach i powodach ich przyjęcia pozostałe organy nadzorcze, których sprawa dotyczy, Europejską Radę Ochrony Danych i Komisję Europejską.
Jeżeli organ nadzorczy, który zastosował takie środki tymczasowe, uznaje, że należy pilnie przyjąć środki o charakterze ostatecznym, może zwrócić się z wnioskiem o pilne wydanie opinii lub wiążącej decyzji do EROD, uzasadniając pilną potrzebę przyjęcia środków o charakterze ostatecznym w drodze odstępstwa od standardowych procedur współpracy i spójności.