Az Európai Adatvédelmi Testület sürgősségi eljárás keretében kötelező erejű döntést fogad el: az ír felügyeleti hatóság végleges intézkedések helyett jogszabályban előírt vizsgálatot köteles végezni

15 July 2021

Brüsszel, július 15. – Az Európai Adatvédelmi Testület a hamburgi felügyeleti hatóság (DE-HH felügyeleti hatóság) kérésére az általános adatvédelmi rendelet 66. cikkének (2) bekezdése szerinti sürgősségi eljárás keretében elfogadta első kötelező erejű határozatát, miután a felügyeleti hatóság az általános adatvédelmi rendelet 66. cikkének (1) bekezdése alapján ideiglenes intézkedéseket hozott a Facebook Ireland Ltd-vel (Facebook IE) szemben. A DE-HH felügyeleti hatóság a WhatsApp Ireland Ltd európai felhasználóira alkalmazandó szolgáltatási feltételek és adatvédelmi szabályzat módosítását követően elrendelte a WhatsApp felhasználói adatainak Facebook IE általi, saját célra történő kezelésének tilalmát.

Az Európai Adatvédelmi Testület úgy határozott, hogy nem teljesülnek a jogsértés fennállását és a sürgősségi eljárás szükségességét bizonyító feltételek. Ennek megfelelően az Európai Adatvédelmi Testület úgy határozott, hogy ebben az esetben az ír felügyeleti hatóságnak nem kell végleges intézkedéseket elfogadnia a Facebook IE-vel szemben.

A benyújtott bizonyítékok alapján az Európai Adatvédelmi Testület arra a következtetésre jutott, hogy nagy valószínűséggel a Facebook IE (közös) adatkezelőként már most is kezeli a WhatsApp IE felhasználói adatait a WhatsApp IE és a többi Facebook-vállalat biztonságának, védelmének és integritásának, valamint a Facebook-vállalatok termékei fejlesztésének közös céljából. A WhatsApp felhasználói felületein elérhető információkban, illetve a Facebook IE és a WhatsApp IE írásbeli beadványaiban tett írásbeli kötelezettségvállalásokban szereplő különböző ellentmondásokra, kétértelműségekre és bizonytalanságokra tekintettel azonban az Európai Adatvédelmi Testület arra a következtetésre jutott, hogy nincs abban a helyzetben, hogy bizonyossággal megállapítsa, hogy ténylegesen mely adatkezelési műveleteket, milyen minőségben végeznek.

Ezenkívül nem állt rendelkezésre elegendő információ annak biztos megállapításához, hogy a Facebook IE már megkezdte-e (közös) adatkezelőként a WhatsApp IE felhasználói adatainak kezelését saját marketingkommunikáció és közvetlen üzletszerzés, illetve a többi Facebook-vállalattal való együttműködés céljából. Az sem állapítható meg, hogy a Facebook IE már megkezdte-e vagy hamarosan megkezdi-e (közös) adatkezelőként, saját céljára a WhatsApp IE felhasználói adatainak kezelését a WhatsApp Business API-vel kapcsolatban.

A sürgősségi eljárást illetően az Európai Adatvédelmi Testület úgy ítélte meg, hogy az általános adatvédelmi rendelet 61. cikkének (8) bekezdése nem alkalmazható, mivel a DE-HH felügyeleti hatóság nem bizonyította, hogy az ír felügyeleti hatóság elmulasztotta az információ-szolgáltatást az általános adatvédelmi rendelet 61. cikke szerinti kölcsönös segítségnyújtás iránti hivatalos megkereséssel összefüggésben. Az Európai Adatvédelmi Testület továbbá úgy határozott, hogy az előző változathoz hasonló problémás elemeket tartalmazó, aktualizált feltételek elfogadása önmagában nem indokolhatja az Európai Adatvédelmi Testület sürgősségi eljárását, amelyben kötelezné a fő felügyeleti hatóságot az általános adatvédelmi rendelet 66. cikkének (2) bekezdése szerinti végleges intézkedések elfogadására. Az Európai Adatvédelmi Testület ezért úgy ítélte meg, hogy a fő felügyeleti hatóságnak ebben az esetben nem kell sürgősségi eljárás keretében végleges intézkedéseket elfogadnia.

Figyelembe véve a jogsértések nagy valószínűségét, különösen a WhatsApp IE és a többi Facebook-vállalat biztonsága, védelme és integritása, valamint a Facebook-vállalatok termékeinek javítása céljából, az Európai Adatvédelmi Testület úgy ítélte meg, hogy ez az ügy további gyors vizsgálatot igényel. Különösen annak ellenőrzésére van szükség, hogy a Facebook-vállalatok a gyakorlatban végeznek-e olyan adatkezelési műveleteket, amelyek a WhatsApp IE felhasználói adatainak más Facebook-vállalatok által a Facebook-vállalatok kínálatában szereplő egyéb alkalmazások vagy szolgáltatások keretében kezelt más adatkészletekkel – többek között egyedi azonosítók használata révén – történő ötvözését vagy összehasonlítását foglalják magukban. Ezért az Európai Adatvédelmi Testület arra kéri az ír felügyeleti hatóságot, hogy sürgősséggel végezzen jogszabályban előírt vizsgálatot annak megállapítása érdekében, hogy sor kerül-e ilyen adatkezelési tevékenységekre, és ha igen, rendelkeznek-e az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése szerinti megfelelő jogalappal.

Ezen túlmenően, figyelembe véve az arra vonatkozó információk hiányát, hogy miként kezelik az adatokat marketingcélokra, a többi Facebook-vállalattal való együttműködésre és a WhatsApp Business API-re vonatkozóan, az Európai Adatvédelmi Testület felkéri az ír felügyeleti hatóságot, hogy vizsgálja tovább a Facebook IE szerepét, azaz azt, hogy a Facebook IE adatfeldolgozóként vagy (közös) adatkezelőként jár-e el ezen adatkezelési műveletek tekintetében.

Következő lépések:

Ennek a sürgősségi eljárás keretében kibocsátott, kötelező erejű határozatnak a címzettjei az ír felügyeleti hatóság, a DE-HH felügyeleti hatóság és a többi érintett felügyeleti hatóság, a Facebook IE és a WhatsApp IE pedig tájékoztatást kapott erről a kötelező erejű határozatról.

A sürgősségi eljárás keretében kibocsátott, kötelező erejű határozatot az Európai Adatvédelmi Testület honlapján közzéteszik annak értékelését követően, hogy a határozat egyes részeit ki kell-e takarni a szakmai titoktartás hatálya alá tartozó információk közzétételének elkerülése érdekében.

Ez a jelenlegi határozat nem érinti az Európai Adatvédelmi Testület által más esetekben – többek között ugyanazokkal a felekkel – készítendő értékeléseket.

 

Megjegyzések a szerkesztőknek:

Miről szól az általános adatvédelmi rendelet 66. cikke?

Ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség saját tagállama területén, akkor legfeljebb három hónapra szóló meghatározott érvényességi idejű ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki.

Ezeket az intézkedéseket az általános adatvédelmi rendelet 63. cikke szerinti egységességi mechanizmustól vagy a 60. cikke szerinti eljárástól eltérve fogadják el. Ebben az esetben az általános adatvédelmi rendelet 66. cikke lehetővé teszi a felügyeleti hatóságok számára, hogy azonnal ideiglenes intézkedéseket fogadjanak el.

Az ideiglenes intézkedéseket kibocsátó felügyeleti hatóság haladéktalanul közli az ilyen intézkedéseket és elfogadásuk indokait a többi érintett felügyeleti hatósággal, az Európai Adatvédelmi Testülettel és az Európai Bizottsággal.

Ha az ideiglenes intézkedéseket hozó felügyeleti hatóság úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, megindokolva, hogy a szokásos együttműködési és egységességi eljárásoktól eltérve miért kell sürgősen végleges intézkedéseket elfogadni, kérheti az Európai Adatvédelmi Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést.