Brusel 2. septembra – Dňa 28. júla Európsky výbor pre ochranu údajov (EDPB) schválil rozhodnutie o riešení sporu na základe článku 65 všeobecného nariadenia o ochrane údajov. Týmto záväzným rozhodnutím sa rieši spor, ktorý vznikol v dôsledku návrhu rozhodnutia írskeho dozorného orgánu ako vedúceho dozorného orgánu, týkajúceho sa WhatsApp Ireland Ltd (ďalej len „WhatsApp IE“) a následných námietok od niekoľkých dotknutých dozorných orgánov. V súlade so všeobecným nariadením o ochrane údajov bolo záväzné rozhodnutie EDPB uverejnené po oznámení konečného rozhodnutia írskeho dozorného orgánu spoločnosti.
EDPB na základe svojho posúdenia zastával názor, že írsky dozorný orgán by mal zmeniť svoj návrh rozhodnutia, pokiaľ ide o porušenia transparentnosti, výpočet pokuty a lehotu na splnenie príkazu.
Pokiaľ ide o transparentnosť, v návrhu rozhodnutia írskeho dozorného orgánu sa už zistilo závažné porušenie článkov 12 – 13 – 14 všeobecného nariadenia o ochrane údajov. EDPB zistil ďalšie nedostatky v súvislosti s poskytnutými informáciami, čo malo vplyv na schopnosť používateľov pochopiť sledované oprávnené záujmy. EDPB preto požiadal írsky dozorný orgán, aby do svojho rozhodnutia zahrnul zistenie porušenia článku 13 ods. 1 písm. d) všeobecného nariadenia o ochrane údajov.
Európsky výbor pre ochranu údajov okrem toho objasnil, že hoci nie každé porušenie článkov 12 až 14 všeobecného nariadenia o ochrane údajov nevyhnutne predstavuje porušenie článku 5 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov, v tomto konkrétnom prípade vzhľadom na závažnosť a zastrešujúcu povahu a vplyv porušení došlo k porušeniu zásady transparentnosti zakotvenej v článku 5 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov.
Pokiaľ ide o zhromažďovanie údajov o nepoužívateľoch – keď sa používatelia rozhodnú používať funkciu kontaktného prvku – spoločnosťou WhatsApp IE, EDPB zistil, že v tomto prípade postup použitý spoločnosťou WhatsApp IE nevedie k anonymizácii zhromaždených osobných údajov.
Pokiaľ ide o uloženú pokutu a výpočet pokuty, EDPB rozhodol, že obrat podniku nie je výlučne relevantný na stanovenie maximálnej výšky pokuty v súlade s článkom 83 ods. 4 až 6 všeobecného nariadenia o ochrane údajov, ale môže sa zvážiť aj pri výpočte samotnej pokuty, ak je to vhodné, aby sa zabezpečilo, že pokuta bude účinná, primeraná a odrádzajúca v súlade s článkom 83 ods. 1 všeobecného nariadenia o ochrane údajov. V tomto prípade EDPB zistil, že konsolidovaný obrat materskej spoločnosti (Facebook Inc.) sa má zahrnúť do výpočtu obratu.
Okrem toho EDPB po prvýkrát objasnil výklad článku 83 ods. 3 všeobecného nariadenia o ochrane údajov. V prípade viacnásobného porušenia v súvislosti s rovnakými alebo súvisiacimi spracovateľskými operáciami by sa pri výpočte výšky pokuty mali zohľadniť všetky porušenia. Platí to bez toho, aby bola dotknutá povinnosť dozorných orgánov zohľadniť proporcionalitu pokuty a dodržiavať maximálnu výšku pokuty stanovenú vo všeobecnom nariadení o ochrane údajov.
Návrh rozhodnutia írskeho dozorného orgánu ďalej obsahoval príkaz uviesť spracovateľské operácie do súladu do 6 mesiacov. EDPB považoval za prvoradé, aby sa súlad s povinnosťami týkajúcimi sa transparentnosti zabezpečil v čo najkratšom možnom časovom rámci. Írsky dozorný orgán bol preto požiadaný, aby zmenil šesťmesačnú lehotu na dosiahnutie súladu na obdobie troch mesiacov.
Toto záväzné rozhodnutie bolo určené dotknutým dozorným orgánom a írsky dozorný orgán ako vedúci dozorný orgán prijal vnútroštátne rozhodnutie na základe rozhodnutia EDPB. Spoločnosť WhatsApp IE bola informovaná o vnútroštátnom rozhodnutí, pričom rozhodnutie EDPB k nemu bolo pripojené.
Rozhodnutím nie sú dotknuté posúdenia, na vykonanie ktorých môže byť EDPB vyzvaný v iných veciach, a to aj vo veciach týkajúcich sa tých istých strán.
Ďalšie informácie o postupe podľa článku 65 všeobecného nariadenia o ochrane údajov sa nachádzajú v časti Často kladené otázky o článku 65