Evropski odbor za varstvo podatkov sprejme nujno zavezujočo odločitev: irski nadzorni organ naj ne sprejme končnih ukrepov, temveč izvede zakonsko predpisane preiskave

15 July 2021

Bruselj, 15. julija - Evropski odbor za varstvo podatkov je na zahtevo nadzornega organa v Hamburgu (DE-HH SA) sprejel svojo prvo nujno zavezujočo odločitev v skladu s členom 66(2) Splošne uredbe o varstvu podatkov, potem ko je nadzorni organ sprejel začasne ukrepe proti družbi Facebook Ireland Ltd (Facebook IE) na podlagi člena 66(1) Splošne uredbe o varstvu podatkov. Nadzorni organ v Hamburgu je družbi Facebook IE po spremembi pogojev uporabe in politike zasebnosti, ki veljajo za evropske uporabnike družbe WhatsApp Ireland Ltd, prepovedal obdelavo podatkov uporabnikov WhatsAppa za lastne namene.

Evropski odbor za varstvo podatkov je odločil, da pogoja za dokazovanje obstoja kršitve in nujnosti nista izpolnjena, zato je odločil, da v tem primeru irskemu nadzornemu organu proti Facebooku IE ni treba sprejeti končnih ukrepov.

Na podlagi predloženih dokazov je Evropski odbor za varstvo podatkov ugotovil, da obstaja velika verjetnost, da Facebook IE že obdeluje podatke uporabnikov WhatsAppa IE kot (skupni) upravljavec za skupni namen varnosti, zaščite in integritete WhatsAppa IE in drugih družb Facebooka ter za skupni namen izboljšanja izdelkov družb Facebooka. Vendar je Evropski odbor za varstvo podatkov glede na različna protislovja, dvoumnosti in nejasnosti, ugotovljena v informacijah za uporabnike WhatsAppa, in nekatere pisne zaveze, ki sta jih sprejela Facebook IE ter WhatsApp IE, sklenil, da ne more z gotovostjo določiti, katera dejanja obdelave se dejansko izvajajo in v kakšnem obsegu.

Poleg tega ni bilo dovolj informacij, da bi z gotovostjo ugotovili, ali je Facebook IE že začel obdelovati podatke uporabnikov WhatsAppa IE kot (skupni) upravljavec za lastne namene trženja in neposrednega trženja ter sodelovanja z drugimi družbami Facebooka. Prav tako ni bilo mogoče ugotoviti, ali je Facebook IE že začel ali bo kmalu začel z obdelavo podatkov uporabnikov WhatsAppa IE kot (skupni) upravljavec podatkov za svoj namen v zvezi z WhatsApp Business API.

V zvezi z obstojem nujnosti je Evropski odbor za varstvo podatkov menil, da se člen 61(8) Splošne uredbe o varstvu podatkov ne uporablja, saj nadzorni organ v Hamburgu ni dokazal, da nadzorni organ Irske ni zagotovil informacij v okviru uradnega zaprosila za medsebojno pomoč v skladu s členom 61 Splošne uredbe o varstvu podatkov. Poleg tega je Evropski odbor za varstvo podatkov odločil, da sprejetje posodobljenih pogojev uporabe, ki vsebujejo podobne problematične elemente kot njihova prejšnja različica, samo po sebi ne more upravičiti nujnosti, da Evropski odbor za varstvo podatkov odredi, da vodilni nadzorni organ sprejme končne ukrepe v skladu s členom 66(2) Splošne uredbe o varstvu podatkov. Evropski odbor za varstvo podatkov je zato menil, da v tem primeru ni nujno, da vodilni nadzorni organ sprejme končne ukrepe.

Ob upoštevanju velike verjetnosti kršitev, zlasti zaradi namenov varnosti, zaščite in integritete  WhatsAppa IE in drugih družb Facebooka, ter zaradi namena izboljšanja izdelkov družb Facebooka, je Evropski odbor za varstvo podatkov menil, da so za to zadevo potrebne hitre nadaljnje preiskave. Preveriti je treba zlasti, ali družbe Facebooka v praksi izvajajo postopke obdelave, ki vključujejo kombinacijo ali primerjavo uporabniških podatkov WhatsAppa IE z drugimi nabori podatkov, ki jih obdelajo druge družbe Facebooka v okviru drugih aplikacij ali storitev, ki jih ponujajo, med drugim z uporabo edinstvenih identifikatorjev. Zato Evropski odbor za varstvo podatkov od irskega nadzornega organa zahteva, da prednostno izvede zakonsko preiskavo, da bi ugotovil, ali take dejavnosti obdelave potekajo, in če je temu tako, ali imajo ustrezno pravno podlago v skladu s členoma 5(1)(a) in 6(1) Splošne uredbe o varstvu podatkov.

Poleg tega Evropski odbor za varstvo podatkov ob upoštevanju pomanjkanja informacij glede načina obdelave podatkov za namene trženja, sodelovanja z drugimi družbami Facebooka in v zvezi z WhatsApp Business API poziva irski nadzorni organ, naj nadalje preuči vlogo Facebooka IE, tj. ali Facebook IE deluje kot obdelovalec ali kot skupni upravljavec v zvezi s temi postopki obdelave.

Naslednji koraki:

Ta nujna zavezujoča odločitev je bila naslovljena na irski nadzorni organ, nadzorni organ v Hamburgu in druge zadevne nadzorne organe; Facebook IE in WhatsApp IE pa sta bila obveščena o tej nujni zavezujoči odločitvi.

Nujna zavezujoča odločitev bo objavljena na spletnem mestu Evropskega odbora za varstvo podatkov po oceni, ali je treba nekatere dele odločitve prikriti, da se prepreči razkritje informacij, za katere velja poslovna skrivnost.

Ta sklep ne posega v ocene, ki bi jih Evropski odbor za varstvo podatkov lahko opravil v drugih primerih, vključno z istimi strankami.

 

Opomba za urednike:

Kaj določa člen 66 Splošne uredbe o varstvu podatkov?

V izjemnih okoliščinah, kadar nadzorni organ meni, da je treba nujno ukrepati za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, na svojem ozemlju, lahko za največ tri mesece sprejme začasne ukrepe, ki imajo pravni učinek na njihovem ozemlju.

Ti ukrepi se sprejmejo z odstopanjem od mehanizma za skladnost iz Splošne uredbe o varstvu podatkov (člen 63) ali mehanizma „vse na enem mestu“ (člen 60). V tem primeru člen 66 Splošne uredbe o varstvu podatkov nadzornim organom omogoča, da nemudoma sprejmejo začasne ukrepe.

Nadzorni organ, ki sprejme takšne začasne ukrepe, mora o teh ukrepih in razlogih za njihovo sprejetje brez nepotrebnega odlašanja obvestiti druge zadevne nadzorne organe, Evropski odbor za varstvo podatkov in Evropsko komisijo.

Če nadzorni organ, ki je sprejel takšne začasne ukrepe, meni, da je treba končne ukrepe nujno sprejeti, lahko od Evropskega odbora za varstvo podatkov zahteva nujno mnenje ali nujno zavezujočo odločitev, pri čemer navede razloge za nujno potrebo po odreditvi sprejetja končnih ukrepov z odstopanjem od standardnih postopkov sodelovanja in skladnosti.