EROD żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp

uodo-3.jpg

Europejska Rada Ochrony Danych (EROD) żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp. Rada chce wyjaśnień dotyczących przejrzystości oraz obliczania wysokość kary pieniężnej w związku z wielokrotnymi naruszeniami.

EROD przyjęła 28 lipca 2021 r. decyzję w sprawie rozstrzygania sporów na podstawie art. 65 RODO. Ta wiążąca decyzja ma na celu rozstrzygnięcie sporu powstałego w wyniku projektu decyzji wydanej przez irlandzki organ nadzorczy jako wiodący organ nadzorczy w odniesieniu do WhatsApp Ireland Ltd. (WhatsApp) oraz późniejszych sprzeciwów wyrażonych przez szereg organów nadzorczych, których sprawa dotyczy. Zgodnie z RODO wiążąca decyzja EROD została obecnie opublikowana, po powiadomieniu spółki o ostatecznej decyzji irlandzkiego organu nadzorczego.

Po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów.

Jeśli chodzi o zasadę przejrzystości, w projekcie decyzji irlandzkiego organu już stwierdzono poważne naruszenie art. 12, 13 i 14 RODO. EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane. W związku z tym EROD zwróciła się do irlandzkiego organu nadzorczego o uwzględnienie w swojej decyzji stwierdzenia naruszenia art. 13 ust. 1 lit. d) RODO.

Ponadto EROD wyjaśniła, że doszło do naruszenia zasady przejrzystości zapisanej w art. 5 ust. 1 lit. a) RODO, chociaż podkreślono także, że nie każde naruszenie art. 12, 13 lub 14 RODO musi pociągać za sobą naruszenie wspomnianej zasady. art. 5 ust. 1 lit. a) RODO.

W odniesieniu do gromadzenia przez WhatsApp danych osób niebędących użytkownikami –gdy użytkownicy decydują się na korzystanie z funkcji kontaktu – EROD stwierdziła, że w omawianym przypadku procedura stosowana przez WhatsApp nie prowadzi do anonimizacji zgromadzonych danych osobowych.

W odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej zgodnie z art. 83 ust. 4–6 RODO. Może być on również uwzględniony przy obliczaniu samej kary pieniężnej, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter zgodnie z art. 83 ust. 1 RODO. W tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej (Facebook Inc.) należy uwzględnić przy obliczaniu obrotu.

Ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia. Dzieje się tak niezależnie od spoczywającego na organach nadzorczych obowiązku uwzględniania proporcjonalności kary pieniężnej oraz przestrzegania maksymalnej wysokości kary pieniężnej określonej w RODO.

Projekt decyzji irlandzkiego organu nadzorczego zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy. EROD stwierdziła, że najważniejsze jest zapewnienie zgodności z wymogami w zakresie przejrzystości w możliwie najkrótszym czasie. W związku z tym irlandzki organ nadzorczy został poproszony o zmianę sześciomiesięcznego terminu na dostosowanie się do wymogów na okres trzech miesięcy.

Wiążąca decyzja została skierowana do organów nadzorczych, których sprawa dotyczy, a irlandzki organ nadzorczy jako organ wiodący przyjął swoją krajową decyzję na podstawie decyzji EROD. Decyzja krajowa, wraz z załączoną do niej decyzją EROD, została doręczona WhatsApp.

źródło: UODO