Jeszcze do niedawna oczekiwano działania ze strony DPC względem Big Tech’ów, którzy posiadają swoje siedziby na terytorium Irlandii. Wydana decyzja stanowi idealną odpowiedź na te oczekiwania, choć nie jest pewne czy decyzja byłaby podobne gdyby nie procedura z art. 65 RODO, której podlegała decyzja.
Ostatecznie obok nałożenia finansowej kary administracyjnej w wysokości 225 mln euro, która jest drugą najwyższą karą nałożoną po wejściu w życie RODO, DPC nakazało WhatsApp doprowadzenia przetwarzania danych do zgodności z RODO.
Procedura z art. 65 RODO dotyczy spraw, które mają charakter transgraniczny i podczas których w procesie podejmowania decyzji inne organy nadzorcze biorące udział w procedurze wyrażą sprzeciw wobec projektu decyzji przedstawionego przez wiodący organ nadzorczy – organ na terenie którego siedzibę ma administrator danych, którego dotyczy postępowanie. W trakcie procedury Europejska Rada Ochrony Danych (EROD) bada czy podniesione przez organy sprzeciwy są uzasadnione i wpływają na prawa i wolności osób, których dane dotyczą. W przypadku uznania, że sprzeciwy są zasadne EROD wydaje decyzję w której wskazuje w jaki sposób projekt decyzji powinien zostać zmieniony i na ten podstawie wiodący organ nadzorczy musi wydać decyzję ostateczną.
DPC uznało w swojej decyzji, że WhatsApp naruszył zasadę przejrzystości, która została wprowadzona w RODO. Zasada wymaga, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz by były sformułowane jasnym i prostym językiem. Jest to jedna z podstawowych zasad określonych w art. 5 RODO, która obok zasady rzetelności i legalności są oceniane w przypadku badania zgodności procesu przetwarzania danych przez administratora danych.
W wyniku przeprowadzonej procedury EROD uznał, że wysokość zaproponowanej przez DPC administracyjnej kary finansowej w przedziale 30 do 50 milionów powinna zostać podwyższona. Jak również działania naprawcze, które ma wykonać WhatsApp w celu przetwarzania danych zgodnie z RODO mają zostać zrealizowane w terminie 3 miesięcy od wydania decyzji, a nie 6 jak proponowało DPC. Jak również EROD wskazał na dodatkowe naruszenia RODO, które powinny zostać uwzględnione przez DPC w decyzji ostateczne m.in. art. 5 ust. 1 lit. a RODO.
Zdaniem WhatsApp nałażona kara jest nieproporcjonalna i zapowiedział skierowanie skargi na decyzję co będzie skutkowało zajęcie się tematem przez irlandzki sąd. Z całą pewnością nie jest to jeszcze koniec tego postępowania.
Źródło: https://iapp.org/news/a/irish-dpc-levies-225m-euro-fine-against-whatsapp/