EDPB je 28. srpnja donio odluku o rješavanju sporova na temelju čl. 65 GDPR-a. Ovom obvezujućom odlukom nastoji se riješiti spor nastao nakon nacrta odluke koju je izdalo irsko nadzorno tijelo kao vodeće nadzorno tijelo (LSA) u vezi s WhatsApp Ireland Ltd i vezano uz naknadne prigovore brojnih zainteresiranih nadzornih tijela (CSA). U skladu s GDPR-om, obvezujuća odluka EDPB-a objavljena je nakon obavijesti tvrtke o konačnoj odluci od strane irskog nadzornog tijela.
Nakon procjene, EDPB je mišljenja kako bi irsko nadzorno tijelo trebalo izmijeniti svoj nacrt odluke o kršenju transparentnosti, izračunu novčane kazne i roku za izvršenje naloga.
Što se tiče transparentnosti, u nacrtu odluke irskog nadzornog tijela već je utvrđena teška povreda članaka 12., 13. i 14. GDPR-a. EDPB je utvrdio dodatne nedostatke u pruženim informacijama, što je utjecalo na sposobnost korisnika da razumiju legitimne interese kojima se teži. Stoga je EDPB zatražio od irskog nadzornog tijela da uključi povredu članka 13. stavka 1. točke d) GDPR -a u svojoj odluci.
Također, EDPB je pojasnio da, iako svaka povreda članaka 12., 13. i 14. GDPR-a nužno ne povlači povredu članka 5. stavka 1. točke a) GDPR -a, u ovom konkretnom slučaju, s obzirom na težinu i sveobuhvatnu prirodu i utjecaj povreda, došlo je do povrede načela transparentnosti sadržanog u članku 5. stavku 1. točki a) GDPR -a.
Vezano za prikupljanje podataka ispitanika koji nisu korisnici WhatsApp-a – kada korisnici odluče koristiti funkciju značajke kontakta – EDPB je otkrio da u ovom slučaju postupak koji koristi WhatsApp ne dovodi do anonimizacije prikupljenih osobnih podataka.
U pogledu izrečene kazne i izračuna novčane kazne, EDPB je odlučio da sami promet tvrtke nije isključivo relevantan za utvrđivanje najvećeg iznosa novčane kazne u skladu s člankom 83. stavcima 4. – 6. GDPR-a, ali se također može uzeti u obzir za izračun same novčane kazne, gdje je to prikladno, kako bi se osiguralo da je kazna učinkovita, proporcionalna i odvraćajuća u skladu s člankom 83. stavkom 1. GDPR-a. U ovom slučaju, EDPB je utvrdio da se konsolidirani promet matične tvrtke (Facebook Inc.) uključuje u izračun prometa.
Osim toga, EDPB je po prvi put dao pojašnjenje o tumačenju članka 83. stavka 3. GDPR-a. U slučaju suočavanja s više povreda za iste ili povezane postupke obrade, sve povrede treba uzeti u obzir pri izračunavanju iznosa novčane kazne.
