DPC podkreślił, że dochodzenie wszczęto na podstawie skargi złożonej w dniu 25 maja 2018 r. przez osobę, pochodzącą z Niemiec. Wyjaśniono, że przed wejściem w życie RODO, w dniu 25 maja 2018 r., WhatsApp Ireland zaktualizował swoje warunki świadczenia usług i poinformował użytkowników, że jeśli chcą nadal mieć dostęp do usługi WhatsApp po wprowadzeniu RODO, obecni i nowi użytkownicy zostali poproszeni o kliknięcie „Zgadzam się i kontynuuj”, aby wyrazić zgodę na zaktualizowane Warunki świadczenia usług. Jeśli jednak użytkownicy odmówią, usługi WhatsApp nie będą dostępne.

Akceptując zaktualizowane Warunki świadczenia usług, Whatsapp Ireland uznał, że została zawarta umowa między WhatsApp Ireland a użytkownikiem, który zauważył, że przetwarzanie danych w związku ze świadczeniem przez niego usługi jest niezbędne w celu wykonania tej umowy i obejmuje zapewnienie ulepszeń usług i zabezpieczeń. W związku z tym Whatsapp Ireland uznał, że takie operacje przetwarzania są zgodne z prawem w świetle art. 6 ust. 1 lit. b) RODO.

Skarżący twierdził, że w przeciwieństwie do stanowiska WhatsApp Ireland, WhatsApp Ireland opierało się na zgodzie jako podstawie prawnej. DPC wskazał, że zdaniem skarżącego, uzależniając dostępność swoich usług od zaakceptowania przez użytkowników zaktualizowanych warunków świadczenia usług, WhatsApp Ireland w rzeczywistości „zmusza” użytkowników do wyrażenia zgody na przetwarzanie ich danych osobowych w celu poprawy usług i bezpieczeństwa, co wiąże się z naruszeniem RODO.

Po przeprowadzeniu dochodzenia DPC przygotował projekt decyzji i przedłożył go zainteresowanym organom nadzorczym (CSA) zgodnie z art. 60 RODO, odnotowując, że:

Z naruszeniem swoich obowiązków w zakresie przejrzystości, informacje dotyczące podstawy prawnej, na której opiera się WhatsApp Ireland, nie zostały jasno przedstawione użytkownikom, w wyniku czego użytkownicy nie mieli wystarczającej jasności co do tego, jakie operacje przetwarzania są przeprowadzane na ich danych osobowych, w jakim celu (celach) i przez odniesienie do której z sześciu podstaw prawnych określonych w art. 6 RODO została wykorzystana. Ponadto DPC uznał, że brak przejrzystości w tak fundamentalnych kwestiach jest sprzeczny z art. 12 i art. 13 ust. 1 lit. c za naruszenia tego i innych obowiązków w zakresie przejrzystości w tym samym okresie DPC nie zaproponował żadnych dalszych grzywien ani środków naprawczych. Ponadto DPC podkreślił, że wszystkie 47 CSA zgodziło się z tą częścią projektu decyzji.

W okolicznościach, w których DPC stwierdził, że WhatsApp Ireland nie opierał się na zgodzie użytkowników jako legalnej podstawie przetwarzania ich danych osobowych, aspekt skarg dotyczących „wymuszonej zgody” nie mógł zostać podtrzymany. W związku z tym DPC rozważał, czy WhatsApp Ireland miał obowiązek opierać się na zgodzie jako podstawie prawnej w związku ze świadczeniem usługi, w tym w celu poprawy usług i bezpieczeństwa. W tym zakresie DPC stwierdził, że WhatsApp Ireland nie musi polegać na zgodzie, a CSA nie zgłosiły sprzeciwu wobec tej analizy, w związku z czym ten element skargi został odrzucony.

Ponadto DPC stwierdził, że zasadniczo RODO nie wyklucza polegania przez WhatsApp Ireland na podstawie prawnej w postaci umowy. W związku z tym DPC wskazał, że 6 z 47 CSA zgłosiło zastrzeżenia i uznało, że WhatsApp Ireland nie powinno mieć możliwości powoływania się na podstawę prawną umowy na tej podstawie, że nie można powiedzieć, że poprawa jakości usług i zapewnienie bezpieczeństwa być konieczne do wykonania podstawowych elementów tego, co uważano za znacznie bardziej ograniczoną formę umowy. W świetle wspomnianego sporu DPC przekazał sporne sprawy do Europejskiej Rady Ochrony Danych (EROD).

W dniu 5 grudnia 2022 r. EROD wydała postanowienie, na podstawie którego DPC stwierdziła, że ​​EROD podtrzymała ustalenie DPC dotyczące naruszenia wymogów przejrzystości, z zastrzeżeniem jedynie dodania dodatkowego naruszenia art. 5 ust. 1 lit. a RODO, ale przyjęto inne podejście w odniesieniu do kwestii podstawy prawnej, uznając, że co do zasady WhatsApp Ireland nie może powoływać się na umowę jako podstawę prawną do przetwarzania danych osobowych w celu doskonalenia usług i bezpieczeństwa. W rezultacie DPC przyjął ostateczną decyzję, dostosowując ją do ustaleń EROD, zgodnie z którymi WhatsApp Ireland nie ma prawa powoływać się na podstawę prawną umowy w celu poprawy jakości usług i zapewnienia bezpieczeństwa (z wyłączeniem tego, co EROD określa jako „bezpieczeństwo IT”.

W związku z powyższym DPC nałożył na WhatsApp Ireland karę administracyjną w wysokości 5,5 mln euro i nakazał dostosowanie swoich operacji przetwarzania do RODO w ciągu sześciu miesięcy.

W szczególności DPC zauważyła, że chociaż EROD zwróciła się do niej o przeprowadzenie nowego dochodzenia w sprawie operacji przetwarzania danych WhatsApp, nie byłoby to zgodne ze strukturą ustaleń dotyczących współpracy i spójności określonych w RODO. Ponadto DPC oświadczyła, że rozważy wniesienie skargi o stwierdzenie nieważności poleceń wydanych w tym kontekście.

Więcej: https://noyb.eu/sites/default/files/2023-01/FINAL%20%28adoption%20version%29%20Decision%20%28WA%29%20Redacted%20%281%29_geschw%C3%A4rzt.pdf

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl