Evropski odbor za varstvo podatkov zahteva, da irski nadzorni organ dopolni odločitev v zvezi z družbo WhatsApp s pojasnili o preglednosti in izračunu zneska globe zaradi več kršitev

2 September 2021 EDPB

Bruselj, 2. septembra - Evropski odbor za varstvo podatkov je 28. julija sprejel odločitev v postopku reševanja sporov na podlagi člena 65 Splošne uredbe o varstvu podatkov. Namen te zavezujoče odločitve je rešiti spor, ki je nastal na podlagi osnutka odločitve, ki jo je irski nadzorni organ izdal kot vodilni nadzorni organ v zvezi z družbo WhatsApp Ireland Ltd. (WhatsApps IE) in poznejših ugovorov, ki jih je izrazilo več zadevnih nadzornih organov. V skladu s Splošno uredbo o varstvu podatkov je bila zavezujoča odločitev Evropskega odbora za varstvo podatkov objavljena, potem ko je bila družba uradno obveščena o končni odločitvi irskega nadzornega organa.

Evropski odbor za varstvo podatkov je na podlagi svoje ocene menil, da bi moral irski nadzorni organ spremeniti svoj osnutek odločitve v zvezi s kršitvami preglednosti, izračunom globe in rokom za izpolnitev odredbe.

Kar zadeva preglednost, je irski nadzorni organ v osnutku sklepa že ugotovil resno kršitev členov 12, 13 in 14 Splošne uredbe o varstvu podatkov. Evropski odbor za varstvo podatkov je ugotovil dodatne pomanjkljivosti pri zagotovljenih informacijah, ki vplivajo na zmožnost uporabnikov, da razumejo zakonite interese, ki se uveljavljajo. Zato je Evropski odbor za varstvo podatkov od irskega nadzornega organa zahteval, naj v svojo odločitev vključi ugotovitev kršitve člena 13(1)(d) Splošne uredbe o varstvu podatkov.

Poleg tega je Evropski odbor za varstvo podatkov pojasnil, da čeprav vsaka kršitev členov 12-14 Splošne uredbe o varstvu podatkov ne pomeni nujno kršitve člena 5(1)(a) Splošne uredbe o varstvu podatkov, je v tem konkretnem primeru prišlo do kršitve načela preglednosti iz člena 5(1)(a) Splošne uredbe o varstvu podatkov glede na resnost, splošno naravo in učinek kršitev.

V zvezi z zbiranjem podatkov o neuporabnikih s strani WhatsAppa IE - ko se uporabniki odločijo za uporabo funkcionalnosti »Contact Feature«- je Evropski odbor za varstvo podatkov ugotovil, da v tem primeru postopek, ki ga uporablja WhatsApp IE, ne zagotavlja anonimizacije zbranih osebnih podatkov.

V zvezi z naloženo globo in izračunom globe je Evropski odbor za varstvo podatkov odločil, da promet podjetja ni izključnega pomena za določitev najvišjega zneska globe v skladu s členom 83(4)–(6) Splošne uredbe o varstvu podatkov, lahko pa se upošteva tudi pri izračunu same globe, kadar je to primerno, da se zagotovi, da je globa učinkovita, sorazmerna in odvračilna v skladu s členom 83(1) Splošne uredbe o varstvu podatkov. V tem primeru je Evropski odbor za varstvo podatkov ugotovil, da je treba v izračun prometa vključiti konsolidirani promet nadrejene družbe (Facebook Inc.).

Poleg tega je Evropski odbor za varstvo podatkov prvič podal pojasnilo glede razlage člena 83(3) Splošne uredbe o varstvu podatkov. Pri obravnavi več kršitev v zvezi z istimi ali povezanimi postopki obdelave bi bilo treba pri izračunu zneska globe upoštevati vse kršitve. To velja ne glede na dolžnost nadzornih organov, da upoštevajo sorazmernost globe in najvišji znesek globe, določen v Splošni uredbi o varstvu podatkov.

Osnutek sklepa irskega nadzornega organa je vseboval tudi odredbo za uskladitev postopkov obdelave v obdobju 6 mesecev. Evropski odbor za varstvo podatkov je menil, da je bistvenega pomena, da se izpolnjevanje obveznosti glede preglednosti zagotovi v najkrajšem možnem času. Zato je bil irski nadzorni organ pozvan, da šestmesečni rok za uskladitev spremeni na tri mesece.

Ta zavezujoča odločitev je bila naslovljena na zadevne nadzorne organe, irski nadzorni organ kot vodilni nadzorni organ pa je sprejel nacionalno odločitev na podlagi sklepa Evropskega odbora za varstvo podatkov. Podjetje WhatsApp IE je bilo o nacionalni odločitvi obveščeno s priloženo odločitvijo Evropskega odbora za varstvo podatkov. 

Ta odločitev ne posega v ocene, ki bi jih Evropski odbor za varstvo podatkov lahko opravil v drugih primerih, vključno z istimi strankami.

Več informacij v zvezi s postopkom iz člena 65 Splošne uredbe o varstvu podatkov je na voljo v Člen 65 - Pogosta vprašanja.