Bruxelles, 2 septembrie - La 28 iulie, Comitetul european pentru protecția datelor (CEPD) a adoptat o decizie de soluționare a unui litigiu în temeiul articolului 65 din RGPD. Această decizie cu caracter obligatoriu urmărește să abordeze litigiul apărut ca urmare a unui proiect de decizie emis de autoritatea de supraveghere din Irlanda, în calitate de autoritate de supraveghere principală, în ceea ce privește WhatsApp Ireland Ltd. (WhatsApp Irlanda) și obiecțiile ulterioare exprimate de o serie de autorități de supraveghere vizate. În conformitate cu RGPD, decizia cu caracter obligatoriu a CEPD a fost publicată, după notificarea întreprinderii cu privire la decizia finală a autorității de supraveghere din Irlanda.
După evaluare, CEPD a considerat că autoritatea de supraveghere din Irlanda ar trebui să-și modifice proiectul de decizie privind încălcările transparenței, calculul amenzii și termenul de conformare.
În ceea ce privește transparența, proiectul de decizie a autorității de supraveghere din Irlanda a identificat deja o încălcare gravă a articolelor 12-13-14 din RGPD. CEPD a identificat și alte nereguli în ceea ce privește informațiile furnizate, afectând capacitatea utilizatorilor de a înțelege interesele legitime urmărite. Prin urmare, CEPD a solicitat autorității de supraveghere din Irlanda să includă în decizia sa constatarea unei încălcări a articolului 13 alineatul (1) litera (d) din RGPD.
În plus, CEPD a explicat că, deși nu orice încălcare a articolelor 12-14 din RGPD implică neapărat încălcarea articolului 5 alineatul (1) litera (a) din RGPD, în acest caz specific, având în vedere gravitatea, natura generală și impactul încălcărilor, a fost încălcat principiul transparenței consacrat la articolul 5 alineatul (1) litera (a) din RGPD.
În ceea ce privește colectarea de către WhatsApp Irlanda a datelor persoanelor care nu sunt utilizatori - când utilizatorii decid să utilizeze funcționalitatea „Contact Feature” - CEPD a constatat că, în cazul de față, procedura utilizată de WhatsApp Irlanda nu duce la anonimizarea datelor cu caracter personal colectate.
În ceea ce privește amenda impusă și calculul amenzii, CEPD a decis că cifra de afaceri a unei întreprinderi nu este relevantă exclusiv pentru stabilirea cuantumului maxim al amenzii în conformitate cu articolul 83 alineatele (4)-(6) din RGPD, ci poate fi luată în considerare și la calcularea amenzii în sine, după caz, pentru a se asigura că amenda este eficace, proporțională și disuasivă în conformitate cu articolul 83 alineatul (1) din RGPD. În acest caz, CEPD a constatat că cifra de afaceri consolidată a societății-mamă (Facebook Inc.) trebuie inclusă în calculul cifrei de afaceri.
În plus, pentru prima dată, CEPD a oferit clarificări cu privire la interpretarea articolului 83 alineatul (3) din RGPD. În cazul unor încălcări multiple pentru aceleași operațiuni de prelucrare sau pentru operațiuni conexe, toate încălcările trebuie luate în considerare la calcularea cuantumului amenzii. Acest lucru nu aduce atingere obligației autorităților de supraveghere de a ține seama de proporționalitatea amenzii și de a respecta cuantumul maxim al amenzii prevăzut de RGPD.
Proiectul de decizie al autorității de supraveghere din Irlanda includea, de asemenea, un ordin de asigurare a conformității operațiunilor de prelucrare în termen de 6 luni. CEPD a considerat că este extrem de important să se asigure respectarea obligațiilor în materie de transparență în cel mai scurt termen posibil. Ca atare, autorității de supraveghere din Irlanda i s-a solicitat să modifice termenul de șase luni pentru conformare cu o perioadă de trei luni.
Această decizie cu caracter obligatoriu a fost adresată autorităților de supraveghere vizate, iar autoritatea de supraveghere din Irlanda, în calitate de autoritate de supraveghere principală, și-a adoptat decizia națională pe baza deciziei CEPD. WhatsApp Irlanda a fost informată cu privire la decizia națională, cu decizia CEPD în anexă.
Prezenta decizie nu aduce atingere eventualelor evaluări pe care CEPD le-ar putea efectua în alte cazuri, inclusiv cu aceleași părți.
Pentru informații suplimentare privind procedura prevăzută la articolul 65 din RGPD, consultați secțiunea Întrebări frecvente despre articolul 65.