EDPB sprejel nujno zavezujočo odločitev glede Facebook-a
EDPB irskemu nadzornemu organu: naj ne sprejme končnih ukrepov, temveč izvede zakonsko preiskavo
Novica je bila objavljena 15.7.2021
EDPB je sprejel svojo prvo nujno zavezujočo odločbo v skladu s čl. 66 (2) GDPR na zahtevo nadzornega organa v Hamburgu (DE-HH SA), potem ko je nadzorni organ sprejel začasne ukrepe v zvezi s Facebook Irska (Facebook IE) na podlagi čl. 66 (1) GDPR. DE-HH SA je zaradi spremembe pogojev storitve in pravilnika o zasebnosti, ki veljajo za evropske uporabnike WhatsApp Ireland Ltd., odredil prepoved obdelave uporabniških podatkov WhatsApp s strani Facebook IE za lastne namene.
EDPB je sklenil, da pogoji za dokazovanje obstoja kršitve in nujnosti niso izpolnjeni. Zato je EDPB sklenil, da irski nadzorni organ (DPC) v tem primeru ne sme sprejeti končnih ukrepov proti družbi Facebook IE.
Na podlagi predloženih dokazov je EDPB ugotovil, da obstaja velika verjetnost, da Facebook IE že obdeluje uporabniške podatke WhatsApp IE kot (skupni) upravljavec za skupni namen varnosti, zaščite in celovitosti WhatsApp IE in drugih Facebook podjetij ter za skupni namen izboljšanja izdelkov Facebook podjetij. Glede na različna protislovja, dvoumnosti in negotovosti, ko gre za podatke uporabnikov WhatsAppa, ter nekatere pisne zaveze, ki jih je sprejel Facebook IE, in pisne navedbe WhatsApp IE, je EDPB ugotovil, da ne more z gotovostjo določiti, katera obdelave operacij se dejansko izvajajo in v kateri vlogi.
Poleg tega ni bilo dovolj informacij, da bi z gotovostjo ugotovili, ali je Facebook IE že začel obdelovati uporabniške podatke WhatsApp IE kot (skupni) upravljavec za lastne namene tržnega komuniciranja in neposrednega trženja ter sodelovanja z drugimi Facebook podjetji. Prav tako ni bilo mogoče ugotoviti, ali je Facebook IE že začel ali bo kmalu začel obdelovati uporabniške podatke WhatsApp IE kot (skupni) upravljavec za svoj namen v zvezi s WhatsApp Business API.
Glede nujnosti je EDPB menil, da se čl. 61 (8) GDPR ni uporabil, saj DE-HH SA ni dokazala, da DPC ni predložila informacij v okviru uradne zahteve za medsebojno pomoč v skladu s členom 61 GDPR. Poleg tega je EDPB sklenil, da sprejetje posodobljenih pogojev, ki vsebujejo podobne problematične elemente kot prejšnja različica, samo po sebi ne more utemeljiti nujnosti EDPB, naj vodilni nadzorni organ (LSA) naloži sprejetje končnih ukrepov v skladu s členom 66 (2) GDPR. EDPB je zato menil, da DPC v tem primeru ni potrebno nujno sprejeti končnih ukrepov.
V spodnji EDPB infografiki je nazorno prikazana umeščenost člena 66 (2) v standardne postopke EDPB in nacionalnih nadzornih organov.
Glede na veliko verjetnost kršitev, zlasti zaradi varnosti, zaščite in integritete WhatsApp IE in drugih družb Facebook, pa tudi zaradi izboljšanja izdelkov podjetij Facebook, je EDPB menil, da je treba to zadevo hitro preiskati. Zlasti za preverjanje, ali podjetja Facebook v praksi izvajajo postopke obdelave, ki pomenijo kombinacijo ali primerjavo uporabniških podatkov WhatsApp IE z drugimi nabori podatkov, ki jih druga podjetja Facebook obdelujejo v okviru drugih aplikacij ali storitev, ki jih ponujajo podjetja Facebook, med drugim olajšana z uporabo unikatnih identifikatorjev. Iz tega razloga EDPB od DPC zahteva, da prednostno izvede zakonsko preiskavo, da se ugotovi, ali se takšne dejavnosti obdelave izvajajo ali ne, in če je temu tako, ali imajo ustrezno pravno podlago v skladu s členom 5 (1) (a) in členom 6 (1) GDPR.
Poleg tega ob upoštevanju pomanjkanja informacij o tem, kako se podatki obdelujejo za tržne namene, sodelovanju z drugimi podjetji Facebook in v zvezi s WhatsApp Business API, EDPB poziva DPC, da še naprej preučuje vlogo Facebook IE, tj. ali Facebook IE v zvezi s temi postopki obdelave deluje kot obdelovalec ali kot (skupni) upravljavec.
Naslednji koraki:
Ta nujna zavezujoča odločitev je bila naslovljena na DPC, DE-HH SA in druge zadevne nadzorne organe, Facebook IE in WhatsApp IE pa so bili obveščeni o tej nujni zavezujoči odločitvi.
Odločitev bo objavljena na spletni strani EDPB po oceni, ali je treba nekatere dele odločbe urediti na način, da se prepreči razkritje poslovnih skrivnosti.
Ta trenutna odločitev ne posega v nobene ocene, ki jih lahko EDPB zahteva v drugih primerih, vključno z istimi stranmi.
Vir: EDPB
