Bruxelles, 2. rujna – Europski odbor za zaštitu podataka (EDPB) donio je 28. srpnja odluku o rješenju spora na temelju članka 65. Opće uredbe o zaštiti podataka. Obvezujućom odlukom nastoji se riješiti spor prouzročen nacrtom odluke koju je donijelo irsko nadzorno tijelo kao vodeće nadzorno tijelo u odnosu na društvo WhatsApp Ireland Ltd. (WhatsApp IE) i naknadnim prigovorima koje je iznijelo nekoliko predmetnih nadzornih tijela. U skladu s Općom uredbom o zaštiti podataka, sada je objavljena obvezujuća odluka EDPB-a nakon što je društvu dostavljena obavijest o konačnoj odluci irskog nadzornog tijela.
Nakon procjene EDPB je smatrao da irsko nadzorno tijelo treba izmijeniti svoj nacrt odluke u dijelovima koji se odnose na povrede odredaba o transparentnosti, izračun iznosa novčane kazne i rok za izvršenje naloga za usklađenje.
Što se tiče transparentnosti, nacrtom odluke irskog nadzornog tijela već je utvrđeno ozbiljno kršenje članaka 12., 13. i 14. Opće uredbe o zaštiti podataka. EDPB je utvrdio dodatne nedostatke u pogledu dostavljenih informacija, koji utječu na sposobnost korisnika da razumiju legitimne interese koji se nastoje ostvariti. Stoga je EDPB od irskog nadzornog tijela zatražio da u svoju odluku doda utvrđivanje povrede članka 13. stavka 1. točke (d) Opće uredbe o zaštiti podataka.
Osim toga, EDPB je pojasnio da, iako svaka povreda članaka od 12. do 14. Opće uredbe o zaštiti podataka ne podrazumijeva nužno povredu članka 5. stavka 1. točke (a) te uredbe, u ovom konkretnom slučaju, s obzirom na težinu, široke razmjere i učinak povreda, došlo je do povrede načela transparentnosti sadržanog u članku 5. stavku 1. točki (a) Opće uredbe o zaštiti podataka.
Što se tiče prakse društva WhatsApp IE da prikuplja podatke o osobama koje nisu korisnici aplikacije ako njezini korisnici odaberu upotrebu značajke „kontakt”, Odbor smatra da se u konkretnom slučaju postupkom društva WhatsApp IE ne postiže anonimizacija prikupljenih osobnih podataka.
Kad je riječ o izrečenoj novčanoj kazni i izračunu novčane kazne, EDPB smatra da promet društva nije mjerodavan isključivo za određivanje maksimalnog iznosa novčane kazne u skladu s člankom 83. stavcima od 4. do 6. Opće uredbe o zaštiti podataka, već bi se mogao uzeti u obzir i za izračun samog iznosa kazne, ako je primjereno, kako bi se osiguralo da je kazna učinkovita, proporcionalna i odvraćajuća u skladu s člankom 83. stavkom 1. Opće uredbe o zaštiti podataka. U ovom slučaju, EDPB smatra da se u izračun prometa treba uključiti i konsolidirani promet matičnog društva (Facebook Inc.).
Usto, EDPB prvi put pojašnjava tumačenje članka 83. stavka 3. Opće uredbe o zaštiti podataka. U slučaju višestrukih povreda prava u okviru istih ili povezanih postupaka obrade, prilikom izračuna iznosa novčane kazne trebalo bi uzeti u obzir sve povrede prava. To je neovisno o obvezi nadzornih tijela da uzmu u obzir proporcionalnost novčane kazne i da se pridržavaju maksimalnog iznosa novčane kazne koji je određen Općom uredbom o zaštiti podataka.
Nacrt odluke irskog nadzornog tijela sadržavao je i nalog za usklađivanje postupaka obrade u roku od 6 mjeseci. EDPB smatra da je od primarne važnosti osigurati usklađenost s obvezama u pogledu transparentnosti u najkraćem mogućem razdoblju. Stoga je od irskog nadzornog tijela zatraženo da šestomjesečni rok za usklađivanje zamijeni razdobljem od tri mjeseca.
Obvezujuća odluka upućena je predmetnim nadzornim tijelima, a irsko nadzorno tijelo kao vodeće nadzorno tijelo donijelo je svoju nacionalnu odluku na temelju odluke EDPB-a. Društvu WhatsApp IE dostavljena je obavijest o nacionalnoj odluci, kojoj je priložena odluka EDPB-a.
Tom se odlukom ne dovode u pitanje procjene koje bi se od EDPB-a mogle zatražiti u drugim slučajevima, uključujući one u kojima sudjeluju iste strane.
Više informacija o postupku na temelju članka 65. Opće uredbe o zaštiti podataka možete pronaći u često postavljanim pitanjima o članku 65.