Det irske datatilsyn: bøde på 225 mio. EUR til WhatsApp

Sagen kort

På baggrund af en række klager tog det irske datatilsyn i 2018 sagen op til behandling for at undersøge, om Whatsapp levede op til gennemsigtighedsprincippet. 

Whatsapp er ejet af Facebook, og når du bruger app'en, deles dine oplysninger med Facebook. Det irske datatilsyn har undersøgt gennemsigtigheden af Whatsapps databehandling over for både brugere og ikke-brugere, herunder delingen af oplysninger med Facebook. 

Whatsapp har appelleret sagen til Irlands High Court.

Artikel 65-proceduren

Whatsapp har hovedsæde i Irland. Da Whatsapp har brugere i flere lande i EU, og der derfor sker grænseoverskridende behandling af personoplysninger, kræves det efter databeskyttelsesforordningens artikel 60, at disse EU-lande inddrages og høres forud for en afgørelse.

Som såkaldt ledende tilsynsmyndighed i sagen sendte det irske datatilsyn derfor udkast til deres afgørelse til andre relevante tilsynsmyndigheder i andre EU-lande. En række af disse tilsyn meddelte, at de var uenige i det irske datatilsyns afgørelse, særligt i relation til bødestørrelsen. Ved manglende enighed mellem tilsynene i EU-lande, ender sagen i en artikel 65-procedure, hvor Det Europæiske Databeskyttelsesråd inddrages. 

Det Europæiske Databeskyttelsesråd (EDPB) vurderede, at indsigelserne fra de andre EU-lande var relevante og begrundede, og afgav på den baggrund en bindende afgørelse. Med afgørelsen ændrede de det irske datatilsyns afgørelse, i forhold til hvilke af forordningens artikler der var overtrådt, bødestørrelsen samt deadline for compliance.  

Udover de bestemmelser i databeskyttelsesforordningen, som det irske datatilsyn i forvejen havde fundet var overtrådt, art. 12, art. 13 og art. 14, fandt EDPB yderligere, at WhatsApp også har overtrådt gennemsigtigheds-princippet i art. 5, stk. 1, litra a. 

Derudover har EDPB – med fastsættelsen af bødestørrelsen – for første gang præciseret fortolkningen af forordningens art. 83, stk. 3: Hvis flere overtrædelser angår det samme eller sammenkædede forhold, skal alle overtrædelserne indgå i overvejelserne, når bødestørrelsen skal fastsættes. 

På den baggrund er EDPB kommet frem til en noget højere bødestørrelse, end det irske datatilsyn først var kommet frem til. 

Til slut har EDPB i deres bindende afgørelse henstillet til, at tidsfristen for, hvornår WhatsApp skal have rettet op på forholdene, ændres fra seks måneder til tre måneder, da der er tale om et brud på det fundamentale gennemsigtighedsprincip. 

Vores bemærkninger

Det er første gang, at EDPB præciserer, hvordan databeskyttelsesforordningens artikel 83 skal fortolkes. Resultat blev: Hvis flere overtrædelser angår det samme forhold eller sammenkædede forhold, skal alle overtrædelserne indgå i overvejelserne, når bødestørrelsen skal fastsættes. 

Det er også interessant, at EU-landene har forskellige opfattelser af, hvad afgørelsen skulle lyde på, før EDPB traf den bindende afgørelse. Med ikrafttrædelsen af GDPR gik man væk fra et direktiv og sigtede derimod mod konformitet i anvendelsen og fortolkningen af reglerne på tværs af landegrænser. Sagen er et udtryk for, at selvom samme regler gælder for alle lande i EU, er det ikke ensbetydende med, at samme resultat nås i de respektive lande. 

Læs EDPB's pressemeddelelse.
Læs pressemeddelelsen fra det irske datatilsyn.