Euroopan tietosuojaneuvosto antoi ratkaisunsa Facebook IE:tä koskevassa kiireellisessä asiassa
Euroopan tietosuojaneuvosto on 12. heinäkuuta antanut ratkaisunsa Hampurin valvontaviranomaisen pyyntöön tehdä Facebook Ireland Limited (Facebook IE) -yhtiötä koskeva kiireellinen sitova päätös. Tietosuojaneuvosto piti hyvin todennäköisenä, että Facebook IE käsittelee WhatsApp Ireland Limited -yhtiöltä saamiaan tietoja rekisterinpitäjänä tai yhteisrekisterinpitäjänä ja pyysi Irlannin valvontaviranomaista selvittämään asiaa tarkemmin. Kyseessä on ensimmäinen tietosuojaneuvoston kiireellisessä menettelyssä antama ratkaisu.
Tietosuojaneuvoston päätös koski Hampurin tietosuojaviranomaisen pyyntöä ottaa käyttöön toimenpiteitä Facebook Ireland Limited -yhtiötä vastaan. Hampurin tietosuojaviranomainen teki pyynnön WhatsApp-pikaviestipalvelun eurooppalaisia käyttäjiä koskevan käyttöehtojen ja tietosuojaselosteen muutosten vuoksi.
EU-maan valvontaviranomainen voi omalla alueellaan ottaa käyttöön väliaikaisia kiireellisiä toimenpiteitä, jos se katsoo, että ne ovat välttämättömiä rekisteröityjen oikeuksien ja vapauksien suojaamiseksi. Yleisen tietosuoja-asetuksen mukaisessa kiireellisessä menettelyssä valvontaviranomainen voi pyytää tietosuojaneuvostolta kiireellistä sitovaa päätöstä näiden väliaikaisten toimenpiteiden lopulliselle hyväksymiselle.
Tietosuojaneuvosto katsoi, että edellytykset tietosuojarikkomuksen osoittamiselle ja kiireellisyydelle eivät kuitenkaan täyttyneet. Näin ollen Irlannin tietosuojaviranomaisen ei tarvitse ottaa käyttöön lopullisia toimenpiteitä Facebook Ireland Limited -yhtiötä vastaan.
Tietosuojaneuvosto katsoi kuitenkin hyvin todennäköiseksi, että Facebook Ireland Limited käsittelee WhatsApp Ireland Limited- yhtiöltä saamiaan henkilötietoja rekisterinpitäjänä tai yhteisrekisterinpitäjänä joihinkin yhteisiin tarkoituksiin, kuten tietoturvan varmistamiseen ja tuotteiden parantamiseen. Saadun selvityksen perusteella tietosuojaneuvosto ei kuitenkaan pystynyt vahvistamaan riittävällä varmuudella sitä, mitä käsittelytoimia todellisuudessa suoritetaan ja missä ominaisuudessa. Koska tietosuojarikkomuksen mahdollisuus on kuitenkin todennäköinen, tietosuojaneuvosto pyytää Irlannin valvontaviranomaista selvittämään asiaa tarkemmin. Erityisesti on selvitettävä sitä, onko Whatsapp-pikaviestipalvelun eurooppalaisia käyttäjiä koskevia tietoja yhdistetty tai vertailtu muiden Facebook yhtiöiden hallussa olevien tietojen kanssa ja jos on, mikä on käsittelyn yleisen tietosuoja-asetuksen mukainen peruste.
Kiireellisyyden osalta tietosuojaneuvosto totesi, ettei kiireellinen menettely sovellu asiaan, sillä Hampurin valvontaviranomainen ei ollut osoittanut, että Irlannin valvontaviranomainen ei olisi pystynyt toimittamaan tietoa virallisen keskinäistä avunantoa koskevan pyynnön yhteydessä. Lisäksi tietosuojaneuvosto totesi, että käyttöehtojen päivitys, joka sisältää samoja ongelmallisia elementtejä kuin edellinen käyttöehtojen versio, ei ole sellaisenaan peruste määrätä asiassa toimenpiteitä kiireellisessä menettelyssä.
Tietosuojaneuvoston kiireellisessä menettelyssä antama päätös tullaan julkaisemaan tietosuojaneuvoston verkkosivuilla. Euroopan tietosuojaneuvosto päättää kiireellistä menettelyä koskevista asioista täysistunnossa, johon osallistuvat kaikki EU-maiden tietosuojaviranomaiset. Tietosuojavaltuutettu osallistui päätöksentekoon Suomen valvontaviranomaisena.
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB adopts urgent binding decision: Irish SA not to take final measures but to carry out statutory investigation (15.7.2021)