Euroopan tietosuojaneuvosto julkaisi WhatsAppia koskevan kiistanratkaisupäätöksen – Irlannin tietosuojaviranomaiselta edellytettiin seuraamusmaksun uudelleen laskemista
Euroopan tietosuojaneuvoston sitova kiistanratkaisupäätös annettiin 28. heinäkuuta ja julkaistiin 2. syyskuuta Irlannin valvontaviranomaisen annettua tähän perustuvan päätöksensä WhatsApp Ireland Ltd:lle. Päätökset koskevat Irlannin tietosuojaviranomaisen tutkintaa siitä, noudattaako WhatsApp tietosuoja-asetuksen velvoitetta kertoa rekisteröidyille henkilötietojen käsittelystä läpinäkyvästi. Tutkinnan perusteella Irlannin valvontaviranomainen havaitsi WhatsAppin toiminnassa vakavia läpinäkyvyyttä koskevia tietosuojarikkomuksia.
Irlannin tietosuojaviranomainen on selvittänyt vuonna 2018 alkaneessa tutkinnassaan, onko WhatsApp noudattanut tietosuoja-asetuksen läpinäkyvyyttä koskevia velvoitteita henkilötietojen käsittelystä annetun tiedon osalta. Selvitys kohdistui myös rekisteröityjen informointiin WhatsAppin ja muiden Facebook-yritysten välisestä tietojen käsittelystä.
Asiaa käsiteltiin Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä, sillä Irlannin valvontaviranomainen hylkäsi EU-maiden valvontaviranomaisten päätösluonnoksesta esittämät vastalauseet ja siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn.
Tietosuojaneuvoston kiistanratkaisupäätöksen perusteella Irlannin tietosuojaviranomainen täsmensi päätöstään läpinäkyvyyttä koskevien rikkomusten sekä hallinnollisen seuraamusmaksun osalta. Irlannin päätösluonnoksessa eriteltyjen rikkomusten lisäksi tietosuojaneuvosto havaitsi, että WhatsApp on informoinut käyttäjiä puutteellisesti myös rekisterinpitäjän oikeutetuista eduista, joihin henkilötietojen käsittely perustuu.
Irlannin valvontaviranomainen määräsi WhatsApp IE:lle 225 miljoonan euron suuruisen hallinnollisen seuraamusmaksun.
Tietosuojaneuvoston päätöksen mukaisesti lopullisen seuraamusmaksun määrittämisessä huomioitiin muun muassa rikkomusten määrä ja Facebook Inc. -emoyhtiön kokonaisliikevaihto. Tietosuojaneuvosto selvensi ensimmäistä kertaa tulkintaansa tietosuoja-asetuksen 83 artiklan 3 kohdasta, jonka mukaan kaikki samoja tai toisiinsa liittyvä käsittelytoimia koskevat rikkomukset olisi otettava huomioon sakon määrän laskemisessa.
Lisäksi tietosuojaneuvosto piti tärkeänä, että läpinäkyvyyttä koskevat käsittelytoimet saatetaan tietosuoja-asetuksen mukaisiksi mahdollisimman nopeasti. Näin ollen määräaikaa lyhennettiin kuudesta kuukaudesta kolmeen kuukauteen.
Irlannin tietosuojaviranomaisen päätös on julkaistu rekisterissä, joka kokoaa yhteen ETA-maiden tietosuojaviranomaisten yhteistyössä tehdyt päätökset.
Lisätietoja:
Irlannin valvontaviranomaisen päätös tietosuojaneuvoston verkkosivuilla (pdf)
Euroopan tietosuojaneuvoston kiistanratkaisupäätös: Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR
Irlannin valvontaviranomaisen tiedote viranomaisen verkkosivuilla: Data Protection Commission announces decision in WhatsApp inquiry (2.9.2021)
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB requests that Irish SA amends WhatsApp decision with clarifications on transparency and on the calculation of the amount of the fine due to multiple infringements (2.9.2021)
65 artikla – Usein kysyttyä Euroopan tietosuojaneuvoston verkkosivuilla (englanniksi)
Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista valvontaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä. Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen ja poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta.