Irländsk dataskyddsmyndighet: WhatsApp måste betala 5,5 miljoner euro

Författare: Kave Noori

Den irländska dataskyddsmyndigheten, Data Protection Commission, DPC, publicerade ett pressmeddelande om ett tillsynsbeslut mot WhatsApp den 19 januari 2023. Den 24 januari 2023 publicerade European Data Protection Board (EDPB) tillsynsbeslutet på sin hemsida.

I pressmeddelandet om tillsynsbeslutet kan man läsa om DPC:s beslut att utfärda en sanktionsavgift på 5,5 miljoner euro. Därtill har DPC beordrat företaget att förändra hanteringen av personuppgifter i enlighet med dataskyddsförordningen inom 6 månader. Tillsynsärendet inleddes genom ett klagomål från en tysk privatperson som lämnade in ett klagomål för 4,5 år sedan, den 25 maj 2018 vilket är samma dag som dataskyddsförordningen GDPR trädde i kraft.

Klagomålet gällde Facebooks nya användarvillkor som också trädde i kraft i samband med att GDPR gjorde det. WhatsApp’s ståndpunkt har varit att användarna av företagets app ingått ett avtal med det när de godkände de nya användarvillkoren. WhatsApp menade att i princip alla personuppgiftsbehandlingar som företaget utför har sin rättsliga grund i artikel 6(1)(b). Företaget menade att även behandling av personuppgifter för att förbättra tjänsten och uppgifter som behandlades för IT-säkerhet också behandlades av WhatsApp med hänvisning till att behandlingarna var nödvändiga för att fullgöra en avtalsförpliktelse.

DPC höll inte med WhatsApp om att personuppgifter som behandlades för att förbättra tjänsten eller för att bevara IT-säkerheten kunde stödja sig på fullgörande av avtal som rättslig grund. På grund av detta menade DC att WhatsApp hade brutit mot sina förpliktelser att informera sina användare. Eftersom företaget inte tillräckligt tydligt hade redogjort för vilka syften som personuppgifterna behandlades för och med stöd av vilken rättslig grund.

I pressmeddelandet kan man fortsättningsvis läsa att EDPB beordrade DPC att öppna en ny utredning för att avgöra om WhatsApp behandlar känsliga personuppgifter och delar dessa med tredje part som använder uppgifterna för individualiserad reklam, marknadsföring och telemetri. DPC beordrades också att fatta beslut om ifall dessa behandlingar var förenliga med företagets skyldigheter enligt GDPR.

Avslutningsvis kan det nämnas att det framgår av pressmeddelandet att det finns meningsskiljaktigheter mellan DPC och EDPB gällande det här tillsynsbeslutet och granskningen av hur WhatsApp hanterar personuppgifter. I pressmeddelandet kan man läsa att DPC anser att EDPB saknar befogenhet att tvinga en nationell tillsynsmyndighet att inleda öppna och spekulativa utredningar. DPC anser också att EDPB genom att utfärda denna order till myndigheten har överskridit sina befogenheter. DPC understryker att beslutet strider mot den struktur för samarbete och enhetlighet som gäller enligt GDPR. Därför uttrycker DPC att den överväger att ta beslutet från EDPB till EU-domstolen för att få det ogiltigförklarat.

Läs mer: 

DPC:s pressmeddelande den 19 januari 2023

EDPB:s nyhet 24 januari 2023 om DPCs tillsynsbeslut 

Direktlänk till EDPB:s publicering av Irländska dataskyddsmyndighetens tillsynsbeslut 

Pressmeddelande från Noyb, en organisation för digitala rättigheter den 19 januari 2023 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart