Tietosuojaneuvosto on pyytänyt Irlannin valvontaviranomaista muuttamaan WhatsApp-päätöstä selkeyttämällä läpinäkyvyyttä koskevia rikkomuksia ja sakon määrän laskemista useista rikkomuksista

2 September 2021

Bryssel 2. syyskuuta – Euroopan tietosuojaneuvosto hyväksyi 28.7.2021 kiistanratkaisupäätöksen yleisen tietosuoja-asetuksen 65 artiklan nojalla. Tällä sitovalla päätöksellä ratkaistiin kiista Irlannin tietosuojaviranomaisen johtavana valvontaviranomaisena tekemästä päätösluonnoksesta, joka koskee WhatsApp Ireland Ltd:tä (WhatsApp IE) ja useiden asianomaisten valvontaviranomaisten myöhemmin esittämiä vastalauseita. Yleisen tietosuoja-asetuksen mukaisesti tietosuojaneuvoston sitova päätös on julkaistu sen jälkeen, kun Irlannin valvontaviranomainen on ilmoittanut yritykselle lopullisen päätöksensä.

Euroopan tietosuojaneuvosto katsoi arvioinnin perusteella, että Irlannin valvontaviranomaisen olisi muutettava päätösluonnostaan läpinäkyvyysvelvoitteiden rikkomisen, sakon laskemisen ja noudattamismääräajan osalta.

Läpinäkyvyyden osalta Irlannin valvontaviranomaisen päätösluonnoksessa todettiin yleisen tietosuoja-asetuksen 12, 13 ja14 artiklojen vakava rikkominen. Euroopan tietosuojaneuvosto havaitsi annetuissa tiedoissa lisäksi puutteita, jotka vaikuttivat käyttäjien mahdollisuuteen ymmärtää käsittelyn perusteena käytettävät rekisterinpitäjän oikeutetut edut. Sen vuoksi tietosuojaneuvosto pyysi Irlannin valvontaviranomaista sisällyttämään päätökseensä toteamuksen yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdan rikkomisesta.

Lisäksi tietosuojaneuvosto selvensi, että vaikka jokaiseen yleisen tietosuoja-asetuksen 12-14 artiklan rikkomiseen ei välttämättä liity yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan rikkomista, tässä nimenomaisessa tapauksessa on rikottu yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan läpinäkyvyyden velvoitetta, kun otetaan huomioon rikkomusten vakavuus sekä kaikenkattava luonne ja vaikutus.

WhatsApp IE kerää tietoja muilta kuin käyttäjiltä, kun käyttäjät päättävät käyttää Contact Feature -toimintoa. Tietosuojaneuvosto totesi, että tässä tapauksessa WhatsApp IE:n käyttämä menettely ei johda kerättyjen henkilötietojen anonymisointiin.

Määrätyn sakon ja sakon laskemisen osalta tietosuojaneuvosto päätti, että yrityksen liikevaihdolla ei ole merkitystä vain silloin, kun määritetään sakon enimmäismäärää yleisen tietosuoja-asetuksen 83 artiklan 4-6 kohdan mukaisesti, vaan se voidaan ottaa tarvittaessa myös itse sakon laskemisessa huomioon, jotta voidaan varmistaa sakon tehokkuus, oikeasuhteisuus ja varoittavuus yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaisesti. Tässä tapauksessa Euroopan tietosuojaneuvosto katsoi, että emoyhtiön (Facebook Inc.) kokonaisliikevaihto on sisällytettävä liikevaihtolaskelmaan.

Lisäksi tietosuojaneuvosto selvensi ensimmäistä kertaa yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan tulkintaa. Jos samojen tai toisiinsa liittyvien käsittelytoimien yhteydessä on useita rikkomuksia, kaikki rikkomukset tulisi ottaa huomioon sakon määrää laskettaessa. Tämä ei kuitenkaan vaikuta valvontaviranomaisten velvollisuuteen ottaa huomioon sakon oikeasuhteisuus ja noudattaa tietosuoja-asetuksen mukaista sakon enimmäismäärää.

Irlannin valvontaviranomaisen päätösluonnokseen sisältyi lisäksi määräys saattaa käsittelytoimet vaatimusten mukaisiksi kuuden kuukauden kuluessa. Tietosuojaneuvosto piti ensisijaisen tärkeänä, että läpinäkyvyysvelvoitteiden noudattaminen varmistetaan mahdollisimman nopeasti. Näin ollen Irlannin valvontaviranomaista pyydettiin muuttamaan kuuden kuukauden määräaika kolmen kuukauden määräajaksi.

Tämä sitova päätös annettiin tiedoksi asianomaisille valvontaviranomaisille, ja Irlannin valvontaviranomainen on johtavana valvontaviranomaisena tehnyt kansallisen päätöksensä tietosuojaneuvoston päätöksen perusteella. WhatsApp IE:lle ilmoitettiin kansallisesta päätöksestä ja siihen liitettiin Euroopan tietosuojaneuvoston päätös. 

Tämä päätös ei rajoita arviointeja, joita tietosuojaneuvosto voi tehdä muissa tapauksissa, myös samojen osapuolten kanssa.

Lisätietoja yleisen tietosuoja-asetuksen 65 artiklan mukaisesta menettelystä  löytyy artiklasta 65 usein kysytyissä kysymyksissä (englanniksi).