Az Európai Adatvédelmi Testület a WhatsApp határozat módosítására kéri az ír felügyeleti hatóságot az átláthatóságra és a többszörös jogsértések miatt kiszabott bírság összegének kiszámítására vonatkozó pontosítások céljából

2 September 2021

Brüsszel, szeptember 2. – Július 28-án az Európai Adatvédelmi Testület vitarendezési döntést fogadott el az általános adatvédelmi rendelet 65. cikke alapján. E kötelező erejű döntés célja egy vita rendezése, amely azt követően alakult ki, hogy az ír felügyeleti hatóság fő felügyeleti hatóságként eljárva kiadott egy, a WhatsApp Ireland Ltd.-re (a továbbiakban: WhatsApp IE) vonatkozó döntéstervezetet, amellyel szemben számos érintett felügyeleti hatóság kifogást emelt. Az általános adatvédelmi rendelettel összhangban az Európai Adatvédelmi Testület kötelező erejű határozatát nemrégiben közzétették azt követően, hogy az ír felügyeleti hatóság végleges határozatáról értesítették a vállalatot.

Értékelését követően az Európai Adatvédelmi Testület azon a véleményen volt, hogy az ír felügyeleti hatóságnak módosítani kell döntéstervezetét az átláthatóság megsértése, a bírság kiszámítása és a megfeleléssel kapcsolatos végzés határideje tekintetében.

Ami az átláthatóságot illeti, az ír felügyeleti hatóság döntéstervezete már megállapította az általános adatvédelmi rendelet 12., 13. és 14. cikkének súlyos megsértését. Az Európai Adatvédelmi Testület további hiányosságokat tárt fel a szolgáltatott információk tekintetében, amelyek hatással vannak a felhasználók azon képességére, hogy megértsék az érvényesíteni kívánt jogos érdekeket.  Ezért az Európai Adatvédelmi Testület felkérte az ír felügyeleti hatóságot, hogy döntésében állapítsa meg az általános adatvédelmi rendelet 13. cikke (1) bekezdésének d) pontja szerinti kötelezettség megsértését.

Emellett az Európai Adatvédelmi Testület egyértelművé tette, hogy bár az általános adatvédelmi rendelet 12-14. cikkeinek megsértése nem jelenti szükségszerűen az általános adatvédelmi rendelet 5. cikke (1) bekezdése a) pontjának a megsértését, ebben a konkrét esetben a jogsértések súlyosságára, átfogó jellegére és hatására tekintettel megsértették az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontjában foglalt átláthatósági elvet.

A WhatsApp IE által a nem felhasználókra vonatkozóan végzett adatgyűjtést illetően – amikor a felhasználók a kapcsolatfelvételi funkció használata mellett döntenek – az Európai Adatvédelmi Testület megállapította, hogy a jelen esetben a WhatsApp IE által alkalmazott eljárás nem vezet az összegyűjtött személyes adatok anonimizálásához.

Ami a kiszabott bírságot és a bírság kiszámítását illeti, az Európai Adatvédelmi Testület megállapította, hogy egy vállalkozás forgalma nem kizárólag a maximális bírság összegének az általános adatvédelmi rendelet 83. cikke (4)–(6) bekezdései szerinti meghatározása szempontjából releváns, hanem adott esetben magának a bírságnak a kiszámítása során is figyelembe vehető annak biztosítása érdekében, hogy a bírság az általános adatvédelmi rendelet 83. cikkének (1) bekezdésével összhangban hatékony, arányos és visszatartó erejű legyen. Ebben az esetben az Európai Adatvédelmi Testület megállapította, hogy a forgalom kiszámításakor figyelembe kell venni az anyavállalat (Facebook Inc.) konszolidált forgalmát is.

Emellett az Európai Adatvédelmi Testület első ízben pontosította az általános adatvédelmi rendelet 83. cikke (3) bekezdésének értelmezését. Az egyazon adatkezelési művelettel vagy egymáshoz kapcsolódó adatkezelési műveletekkel kapcsolatos többszörös jogsértések esetén a bírság összegének kiszámításakor valamennyi jogsértést figyelembe kell venni. Ez nem érinti a felügyeleti hatóságok azon kötelezettségét, miszerint figyelembe kell venniük a bírság arányosságát és tiszteletben kell tartaniuk a bírság általános adatvédelmi rendeletben meghatározott maximális összegét.

Az ír felügyeleti hatóság határozattervezete tartalmazott egy végzést is, amely szerint az adatkezelési műveleteket 6 hónapon belül összhangba kell hozni az előírásokkal. Az Európai Adatvédelmi Testület elsődleges fontosságúnak tartotta, hogy az átláthatósági kötelezettségeknek való megfelelés a lehető legrövidebb időn belül biztosítva legyen. Ennek megfelelően felkérték az ír felügyeleti hatóságot, hogy a megfelelésre vonatkozó hat hónapos határidőt módosítsa három hónapra.

E kötelező erejű döntés címzettjei az érintett felügyeleti hatóságok voltak, és az ír felügyeleti hatóság vezető felügyeleti hatóságként eljárva, az Európai Adatvédelmi Testület határozata alapján módosította nemzeti határozatát. A WhatsApp IE értesítést kapott a nemzeti határozatról, amelyhez csatolták az Európai Adatvédelmi Testület döntését.

Ez a jelenlegi döntés nem érinti az Európai Adatvédelmi Testület által más esetekben – többek között ugyanazokkal a felekkel – készítendő értékeléseket.

Amennyiben további tájékoztatást szeretne az általános adatvédelmi rendelet 65. cikke szerinti eljárással kapcsolatban, kérjük, olvassa el az Art. 65 FAQ (gyakran ismételt kérdések a 65. cikkel kapcsolatban) című dokumentumot.