Bryssel 15 päivä heinäkuuta – Euroopan tietosuojaneuvosto antoi ensimmäisen kiireellisen sitovan päätöksensä yleisen tietosuoja-asetuksen 66 artiklan 2 kohdan nojalla Hampurin valvontaviranomaisen pyynnöstä sen jälkeen, kun valvontaviranomainen oli toteuttanut väliaikaisia toimenpiteitä Facebook Ireland Ltd:tä vastaan (Facebook IE) yleisen tietosuoja-asetuksen 66 artiklan 1 kohdan nojalla. Hampurin valvontaviranomainen on määrännyt Facebook IE:lle kiellon käsitellä WhatsAppin käyttäjätietoja omiin tarkoituksiinsa sen jälkeen, kun WhatsApp Ireland Ltd:n eurooppalaisiin käyttäjiin sovellettavia palveluehtoja ja yksityisyyden suojaa koskevia ehtoja muutettiin.
Tietosuojaneuvosto päätti, että edellytykset rikkomuksen osoittamiselle ja kiireellisyydelle eivät täyty. Sen vuoksi tietosuojaneuvosto päätti, ettei Irlannin valvontaviranomaisen tarvitse tässä tapauksessa ottaa käyttöön lopullisia toimenpiteitä Facebook IE:ta vastaan.
Toimitettujen todisteiden perusteella tietosuojaneuvosto päätteli, että on erittäin todennäköistä, että Facebook Ireland käsittelee jo WhatsApp IE:n käyttäjätietoja rekisterinpitäjänä tai yhteisrekisterinpitäjänä WhatsApp IE:n ja muiden Facebook-yritysten joihinkin yhteisiin tarkoituksiin, kuten tietoturvan varmistamiseksi ja tuotekehittelyä varten. WhatsAppin käyttäjäkohtaisissa tiedoissa, Facebook IE:n kirjallisissa sitoumuksissa ja WhatsApp IE:n kirjallisissa lausumissa todettujen ristiriitaisuuksien, monitulkintaisuuden ja epävarmuuden vuoksi tietosuojaneuvosto katsoi kuitenkin, ettei se pysty varmuudella määrittämään, mitä käsittelytoimia todella suoritetaan ja missä ominaisuudessa.
Lisäksi sellaisia tietoja ei ollut riittävästi, joiden perusteella olisi voitu varmuudella todeta, että Facebook IE käsittelee jo WhatsApp IE:n käyttäjätietoja rekisterinpitäjänä tai yhteisrekisterinpitäjänä omia markkinointi- ja suoramarkkinointitarkoituksiaan varten ja tekee yhteistyötä muiden Facebook-yritysten kanssa. Ei myöskään voitu todeta, onko Facebook IE jo aloittanut tai aikooko se käsitellä WhatsApp IE:n käyttäjätietoja rekisterinpitäjänä tai yhteisrekisterinpitäjänä omiin tarkoituksiinsa WhatsApp Business API:n osalta.
Kiireellisyyden osalta tietosuojaneuvosto katsoi, että yleisen tietosuoja-asetuksen 61 artiklan 8 kohtaa ei voitu soveltaa, koska Hampurin valvontaviranomainen ei osoittanut, että Irlannin valvontaviranomainen ei toimittanut tietoja yleisen tietosuoja-asetuksen 61 artiklan mukaisen virallisen keskinäistä avunantoa koskevan pyynnön yhteydessä. Lisäksi tietosuojaneuvosto päätti, että päivitetyt käyttöehdot, jotka sisältävät samanlaisia ongelmakohtia kuin edellinen versio, eivät yksin riitä perusteeksi sille, että tietosuojaneuvosto joutuisi kiireesti määräämään johtavan valvontaviranomaisen toteuttamaan lopullisia toimenpiteitä yleisen tietosuoja-asetuksen 66 artiklan 2 kohdan nojalla. Tietosuojaneuvosto katsoi näin ollen, että johtavan valvontaviranomaisen ei tarvitse tässä tapauksessa hyväksyä lopullisia toimenpiteitä kiireellisesti.
Koska tietosuojarikkomukset ovat erittäin todennäköisiä erityisesti WhatsApp IE:n ja muiden Facebook-yritysten tietoturvan varmistamisen ja tuotekehittelyn yhteydessä, tietosuojaneuvosto katsoi, että asia edellyttää pikaisia lisätutkimuksia. Erityisesti on selvitettävä sitä, suorittavatko Facebook-yhtiöt käytännössä käsittelytoimia, joissa WhatsApp IE:n käyttäjätietoja yhdistetään tai vertaillaan muiden Facebook-yritysten sovellusten tai palvelujen yhteydessä käsittelemiin tietokokonaisuuksiin, ja joita helpotetaan muun muassa yksilöllisten tunnisteiden käytöllä. Tietosuojaneuvosto pyytää Irlannin valvontaviranomaista suorittamaan ensisijaisesti lakisääteisen tutkinnan sen määrittämiseksi, suoritetaanko tällaisia käsittelytoimia ja onko niillä asianmukainen oikeusperusta yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan nojalla.
Ottaen huomioon tiedonpuutteen siitä, miten tietoja käsitellään markkinointitarkoituksiin ja yhteistyöstä muiden Facebook-yritysten kanssa sekä suhteesta WhatsApp Business API:in, tietosuojaneuvosto kehottaa lisäksi Irlannin valvontaviranomaista tutkimaan tarkemmin Facebook IE:n roolia eli sitä, toimiiko Facebook IE henkilötietojen käsittelijänä vai yhteisrekisterinpitäjänä näiden käsittelytoimien osalta.
Seuraavat vaiheet:
Tämä kiireellinen sitova päätös osoitettiin Irlannin valvontaviranomaiselle, Hampurin valvontaviranomaisille ja muille asianomaisille valvontaviranomaisille. Facebook IE:lle ja WhatsApp IE:lle on ilmoitettu tästä kiireellisestä sitovasta päätöksestä.
Kiireellinen sitova päätös julkaistaan Euroopan tietosuojaneuvoston verkkosivustolla sen jälkeen, kun on arvioitu, onko päätöksen jotkin osat poistettava salassapitovelvollisuuden vuoksi.
Tämä päätös ei rajoita arviointeja, joita tietosuojaneuvosto voi tehdä muissa tapauksissa myös samojen osapuolten kanssa.
Taustatietoa:
Mikä on yleisen tietosuoja-asetuksen 66 artikla?
Jos valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimia rekisteröityjen oikeuksien ja vapauksien suojaamiseksi sen alueella, se voi hyväksyä väliaikaisia toimenpiteitä, joilla on oikeusvaikutuksia niiden omalla alueella enintään kolmen kuukauden ajan.
Nämä toimenpiteet hyväksytään poikkeamalla yleisen tietosuoja-asetuksen yhdenmukaisuusmekanismista (yleisen tietosuoja-asetuksen 63 artikla) tai yhden yhteyspisteen mekanismista (yleisen tietosuoja-asetuksen 60 artikla). Tässä tapauksessa yleisen tietosuoja-asetuksen 66 artiklassa annetaan valvontaviranomaisille mahdollisuus hyväksyä välittömästi väliaikaisia toimenpiteitä.
Väliaikaisia toimenpiteitä määräävän valvontaviranomaisen on ilmoitettava nämä toimenpiteet ja niiden hyväksymisen syyt ilman aiheetonta viivytystä muille asianomaisille valvontaviranomaisille, Euroopan tietosuojaneuvostolle ja Euroopan komissiolle.
Jos tällaisia väliaikaisia toimenpiteitä toteuttanut valvontaviranomainen katsoo, että lopulliset toimenpiteet on hyväksyttävä kiireellisesti, se voi pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä ja esittää syyt kiireelliseen tarpeeseen määrätä lopullisten toimenpiteiden hyväksymisestä vakiomuotoisista yhteistyö- ja yhdenmukaisuusmenettelyistä poiketen.