Briuselis, liepos 15 d. Europos duomenų apsaugos valdyba, gavusi Hamburgo priežiūros institucijos (toliau – DE-HH SA) prašymą, priėmė pirmąjį skubų privalomą sprendimą pagal BDAR 66 straipsnio 2 dalį po to, kai priežiūros institucija, remdamasi BDAR 66 straipsnio 1 dalimi, patvirtino laikinąsias priemones dėl „Facebook Ireland Ltd“ (toliau – „Facebook IE“). Pasikeitus paslaugų ir privatumo politikos sąlygoms, taikomoms „WhatsApp Ireland Ltd“ Europos naudotojams, DE-HH SA uždraudė „Facebook IE“ tvarkyti „WhatsApp“ naudotojų duomenis savo reikmėms.
EDAV nusprendė, kad sąlygos, taikomos, kai reikia įrodyti, kad pažeidimas yra ir kad reikia imtis skubių veiksmų, nėra įvykdytos. Todėl EDAV nusprendė, kad šiuo atveju Airijos priežiūros institucija neturi priimti jokių galutinių priemonių prieš „Facebook IE“.
Remdamasi pateiktais įrodymais, EDAV padarė išvadą, kad yra didelė tikimybė, jog „Facebook IE“ jau tvarko „WhatsApp IE“ naudotojų duomenis kaip (bendras) duomenų valdytojas bendru „WhatsApp IE“ ir kitų „Facebook“ bendrovių saugos, saugumo ir vientisumo tikslu ir bendru „Facebook“ bendrovių produktų tobulinimo tikslu. Vis dėlto, atsižvelgdama į įvairius prieštaravimus, dviprasmiškumą ir neaiškumus, pastebėtus „WhatsApp“ naudotojo sąsajos (angl. user-facing) informacijoje, tam tikruose „Facebook IE“ ir „WhatsApp IE“ rašytiniuose pareiškimuose, EDAV padarė išvadą, kad ji negali tiksliai nustatyti, kokios duomenų tvarkymo operacijos iš tikrųjų atliekamos ir kokiu mastu.
Be to, nebuvo pakankamai informacijos, kad būtų galima tiksliai nustatyti, ar „Facebook IE“ jau pradėjo tvarkyti „WhatsApp IE“ naudotojų duomenis kaip (bendras) duomenų valdytojas savo rinkodaros pranešimų ir tiesioginės rinkodaros tikslais ir bendradarbiaudamas su kitomis „Facebook“ bendrovėmis. Taip pat nebuvo galima nustatyti, ar „Facebook IE“ jau pradėjo arba netrukus pradės tvarkyti „WhatsApp IE“ naudotojų duomenis kaip (bendras) duomenų valdytojas savo reikmėms, susijusioms su „WhatsApp Business API“.
Dėl skubos EDAV laikėsi nuomonės, kad BDAR 61 straipsnio 8 dalis netaikytina, nes DE-HH SA neįrodė, kad Airijos priežiūros institucija nepateikė informacijos pagal oficialų savitarpio pagalbos prašymą pagal BDAR 61 straipsnį. Be to, EDAV nusprendė, kad vien atnaujintų sąlygų, kuriose yra panašių probleminių elementų kaip ir ankstesnėje redakcijoje, priėmimas nėra pakankamas pagrindas EDAV skubiai nurodyti vadovaujančiai priežiūros institucijai patvirtinti galutines priemones pagal BDAR 66 straipsnio 2 dalį. Todėl EDAV laikėsi nuomonės, kad šiuo atveju vadovaujanti priežiūros institucija neturi skubiai tvirtinti galutinių priemonių.
Atsižvelgdama į didelę pažeidimų tikimybę ir ypač į tai, kad reikia užtikrinti „WhatsApp IE“ ir kitų „Facebook“ bendrovių veiklos saugą, saugumą ir vientisumą, taip pat tobulinti „Facebook“ bendrovių produktus, EDAV laikėsi nuomonės, kad šį klausimą reikia skubiai toliau aiškintis. Konkrečiai reikia patikrinti, ar praktikoje „Facebook“ įmonės vykdo tokius duomenų tvarkymo veiksmus, kuriuos atliekant „WhatsApp IE“ naudotojų duomenys derinami arba lyginami su kitais duomenų rinkiniais, kuriuos kitos „Facebook“ bendrovės tvarko naudodamos kitas „Facebook“ bendrovių programėles ar paslaugas, kurias, be kita ko, palengvina unikalių identifikatorių naudojimas. Dėl šios priežasties EDAV prašo Airijos priežiūros institucijos skubiai atlikti tyrimą įstatymų nustatyta tvarka ir nustatyti, ar tokie duomenų tvarkymo veiksmai vykdomi, ar ne, ir, jei taip, ar jiems vykdyti yra tinkamas teisinis pagrindas pagal BDAR 5 straipsnio 1 dalies a punktą ir 6 straipsnio 1 dalį.
Be to, atsižvelgdama į tai, kad trūksta informacijos apie tai, kaip duomenys tvarkomi rinkodaros tikslais, bendradarbiaujant su kitomis „Facebook“ bendrovėmis ir „WhatsApp Business API“ reikmėms, EDAV ragina Airijos priežiūros instituciją toliau aiškintis „Facebook IE“ vaidmenį, t. y. ar „Facebook IE“ veikia kaip duomenų tvarkytojas, ar kaip (bendras duomenų valdytojas) šių duomenų tvarkymo operacijų atžvilgiu.
Tolesni veiksmai
Šis skubus privalomas sprendimas nusiųstas Airijos priežiūros institucijai, DE-HH SA ir kitoms susijusioms priežiūros institucijoms, o „Facebook IE“ ir „WhatsApp IE“ apie jį pranešta.
Skubus privalomas sprendimas bus paskelbtas EDAV interneto svetainėje po to, kai bus įvertinta, ar tam tikras sprendimo dalis reikia išbraukti, kad būtų išvengta informacijos, kuriai taikoma profesinė paslaptis, atskleidimo.
Šis sprendimas neturės jokių padarinių vertinimams, kuriuos EDAV gali būti paprašyta atlikti kitais atvejais, taip pat tyrimams, susijusiems su tomis pačiomis šalimis.
Pastaba redaktoriams
Kas yra BDAR 66 straipsnis?
Išimtinėmis aplinkybėmis, jeigu priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji gali priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje.
Šios priemonės priimamos nukrypstant nuo BDAR nustatyto nuoseklumo užtikrinimo mechanizmo (BDAR 63 straipsnis) arba vieno langelio mechanizmo (BDAR 60 straipsnis). Šiuo atveju BDAR 66 straipsniu priežiūros institucijoms suteikiama galimybė nedelsiant patvirtinti laikinąsias priemones.
Tokias laikinąsias priemones nustatanti priežiūros institucija turi nepagrįstai nedelsdama pranešti apie šias priemones ir jų priėmimo priežastis kitoms susijusioms priežiūros institucijoms, Europos duomenų apsaugos valdybai ir Europos Komisijai.
Jei priežiūros institucija, kuri ėmėsi tokių laikinųjų priemonių, mano, kad reikia skubiai patvirtinti galutines priemones, ji gali prašyti, kad EDAV skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama priežastis, dėl kurių reikia skubiai nurodyti priimti galutines priemones nukrypstant nuo standartinių bendradarbiavimo ir nuoseklumo procedūrų.