Brusel 2. září – Dne 28. července přijal Evropský sbor pro ochranu osobních údajů rozhodnutí o řešení sporu na základě článku 65 obecného nařízení o ochraně osobních údajů. Cílem tohoto závazného rozhodnutí je vyřešit spor, který vznikl v návaznosti na návrh rozhodnutí irského dozorového úřadu jakožto vedoucího dozorového úřadu týkajícího se společnosti WhatsApp Ireland Ltd. (WhatsApp IE) a následných námitek vyjádřených řadou dotčených dozorových úřadů. V souladu s obecným nařízením o ochraně osobních údajů bylo nyní zveřejněno závazné rozhodnutí Evropského sboru pro ochranu osobních údajů, a to po oznámení konečného rozhodnutí irského dozorového úřadu uvedené společnosti.
V návaznosti na své posouzení dospěl Evropský sbor pro ochranu osobních údajů k názoru, že irský dozorový úřad by měl pozměnit svůj návrh rozhodnutí týkajícího se porušení transparentnosti, výpočtu výše pokuty a lhůty pro splnění příkazu.
Pokud jde o transparentnost, bylo již v návrhu rozhodnutí irského dozorového úřadu zjištěno závažné porušení článků 12, 13 a 14 obecného nařízení o ochraně osobních údajů. Evropský sbor pro ochranu osobních údajů zjistil další nedostatky v poskytovaných informacích, což mělo dopad na schopnost uživatelů porozumět sledovaným oprávněným zájmům. Evropský sbor pro ochranu osobních údajů proto požádal irský dozorový úřad, aby do svého rozhodnutí zahrnul zjištění porušení čl. 13 odst. 1 písm. d) obecného nařízení o ochraně osobních údajů.
Kromě toho Evropský sbor pro ochranu osobních údajů objasnil, že ačkoli ne každé porušení článků 12–14 obecného nařízení o ochraně osobních údajů nutně znamená porušení čl. 5 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů, v tomto konkrétním případě s ohledem na závažnost a komplexní povahu a dopad porušení předpisů došlo k porušení zásady transparentnosti zakotvené v čl. 5 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů.
Pokud jde o shromažďování údajů o neuživatelích společností WhatsApp IE, Evropský sbor pro ochranu osobních údajů zjistil, že pokud se uživatelé rozhodnou používat funkci „Kontaktujte nás“, v takovémto případě nevede postup používaný společností WhatsApp IE k anonymizaci shromážděných osobních údajů.
Pokud jde o uloženou pokutu a její výpočet, Evropský sbor pro ochranu osobních údajů rozhodl, že v souladu s čl. 83 odst. 4 až 6 obecného nařízení o ochraně osobních údajů obrat podniku není pro stanovení maximální výše pokuty výlučně relevantní, ale v souladu s čl. 83 odst. 1 obecného nařízení o ochraně osobních údajů ho lze vzít v úvahu i pro samotný výpočet pokuty, je-li to vhodné, aby bylo zajištěno, že uložení pokuty je účinné, přiměřené a odrazující. V tomto případě Evropský sbor pro ochranu osobních údajů shledal, že do výpočtu obratu je třeba zahrnout konsolidovaný obrat mateřské společnosti (Facebook Inc.).
Evropský sbor pro ochranu osobních údajů kromě toho poprvé poskytl vysvětlení ohledně výkladu čl. 83 odst. 3 obecného nařízení o ochraně osobních údajů. V případě vícenásobných porušení předpisů v souvislosti se stejnými nebo souvisejícími operacemi zpracování údajů by měla být při výpočtu výše pokuty zohledněna veškerá porušení předpisů. Je tomu tak bez ohledu na povinnost dozorových úřadů zohlednit přiměřenost pokuty a dodržovat maximální výši pokuty stanovenou v obecném nařízení o ochraně osobních údajů.
Návrh rozhodnutí irského dozorového úřadu dále obsahoval příkaz uvést operace zpracování do souladu s právními předpisy do šesti měsíců. Evropský sbor pro ochranu osobních údajů považoval za prvořadé, aby dodržování povinností týkajících se transparentnosti bylo zajištěno v co možná nejkratší době. Irský dozorový úřad byl proto požádán, aby lhůtu pro dosažení souladu změnil ze šesti měsíců na tři měsíce.
Toto závazné rozhodnutí bylo určeno dotčeným dozorovým úřadům a irský dozorový úřad jako vedoucí dozorový úřad přijal své vnitrostátní rozhodnutí na základě rozhodnutí Evropského sboru pro ochranu osobních údajů. Společnost WhatsApp IE byla informována o vnitrostátním rozhodnutí, přičemž rozhodnutí Evropského sboru pro ochranu osobních údajů k němu bylo připojeno.
Tímto rozhodnutím nejsou dotčena případná posouzení, ke kterým bude Evropský sbor pro ochranu osobních údajů vyzván v jiných případech, byť by se týkala týchž stran.
Další informace k postupu podle článku 65 obecného nařízení o ochraně osobních údajů naleznete v často kladených otázkách týkajících se článku 65.