Euroopa Andmekaitsenõukogu palub Iirimaa järelevalveasutusel muuta WhatsAppi otsust, selgitades mitme rikkumise tõttu läbipaistvust ja trahvisumma arvutamist

2 September 2021

Brüssel, 2. september – 28. juulil võttis Euroopa Andmekaitsenõukogu vastu vaidluste lahendamise otsuse isikuandmete kaitse üldmääruse artikli 65 alusel. Käesoleva siduva otsuse eesmärk on lahendada vaidlus, mis tekkis pärast Iirimaa (IE) järelevalveasutuse kui juhtiva järelevalveasutuse (LSA) otsuse eelnõud seoses äriühinguga WhatsApp Ireland Ltd. (WhatsApp IE) ning mitme asjaomase järelevalveasutuse hilisemaid vastuväiteid. Isikuandmete kaitse üldmääruse kohaselt on andmekaitsenõukogu siduv otsus avaldatud pärast seda, kui Iirimaa järelevalveasutus oli äriühingule oma lõplikust otsusest teatanud.

Pärast hindamist oli Euroopa Andmekaitsenõukogu arvamusel, et Iirimaa järelevalveasutus peaks muutma oma otsuse eelnõud läbipaistvuse rikkumise, trahvi arvutamise ja määruse täitmise tähtaja kohta.

Läbipaistvuse osas on IE järelevalveasutuse otsuse eelnõus juba tuvastatud isikuandmete kaitse üldmääruse artiklite 12-13-14 tõsine rikkumine. Euroopa Andmekaitsenõukogu tuvastas esitatud teabes täiendavaid puudusi, mis mõjutasid kasutajate võimet mõista taotletavaid õigustatud huve.  Seetõttu palus andmekaitsenõukogu Iirimaa järelevalveasutusel lisada oma otsusesse isikuandmete kaitse üldmääruse artikli 13 lõike 1 punkti d rikkumise tuvastamise.

Lisaks selgitas Euroopa Andmekaitsenõukogu, et kuigi isikuandmete kaitse üldmääruse artiklite 12-14 iga rikkumisega ei kaasne tingimata isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a rikkumine, on käesoleval konkreetsel juhul rikkumiste raskust ning üldist laadi ja mõju arvesse võttes rikutud isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis a sätestatud läbipaistvuse põhimõtet.

WhatsApp IE poolt mittekasutajate kohta andmete kogumine - kui kasutajad otsustavad kasutada kontaktelemendi funktsiooni – leidis Euroopa Andmekaitsenõukogu, et käesoleval juhul ei too WhatsApp IE kasutatud metoodika kaasa kogutud isikuandmete anonüümimist.

Seoses määratud trahviga ja trahvi arvutamisega otsustas Euroopa Andmekaitsenõukogu, et ettevõtja käive ei ole oluline üksnes maksimaalse trahvisumma kindlaksmääramisel vastavalt isikuandmete kaitse üldmääruse artikli 83 lõigetele 4-6, kuid seda võib kaaluda ka trahvi enda arvutamisel, kui see on asjakohane, et tagada trahvi tõhusus, proportsionaalsus ja hoiatavus vastavalt isikuandmete kaitse üldmääruse artikli 83 lõikele 1. Sel juhul leidis Euroopa Andmekaitsenõukogu, et emaettevõtja (Facebook Inc.) konsolideeritud käive tuleb käibe arvutamisel arvesse võtta.

Lisaks selgitas Euroopa Andmekaitsenõukogu esimest korda isikuandmete kaitse üldmääruse artikli 83 lõike 3 tõlgendamist. Kui samade või seotud töötlemistoimingutega seoses esineb mitu rikkumist, tuleks trahvisumma arvutamisel arvesse võtta kõiki rikkumisi. See ei ole vastuolus järelevalveasutuste kohustusega võtta arvesse trahvi proportsionaalsust ja järgida isikuandmete kaitse üldmääruses sätestatud maksimaalset trahvisummat.

IE järelevalveasutuse otsuse eelnõu sisaldas ka korraldust viia töötlemistoimingud 6 kuu jooksul nõuetega vastavusse. Euroopa Andmekaitsenõukogu pidas äärmiselt oluliseks tagada läbipaistvuskohustuste täitmine võimalikult lühikese aja jooksul. Seega paluti Iirimaa järelevalveasutusel muuta kuuekuulist nõuete täitmise tähtaega kolmeks kuuks.

Kõnealune siduv otsus oli adresseeritud asjaomastele järelevalveasutustele ning IE järelevalveasutus kui juhtiv järelevalveasutus on Euroopa Andmekaitsenõukogu otsuse alusel vastu võtnud oma riikliku otsuse. WhatsApp IE-le teatati siseriiklikust otsusest, millele on lisatud Euroopa Andmekaitsenõukogu otsus. 

Käesolev otsus ei piira mis tahes hinnanguid, mida Euroopa Andmekaitsenõukogult võidakse nõuda muudel juhtudel, sealhulgas samade osapooltega.

Lisateave isikuandmete kaitse üldmääruse artikli 65 kohase menetluse kohta on esitatud korduma kippuvate küsimuste artiklis 65.