Irländsk dataskyddsmyndighet: WhatsApp måste betala 5,5 miljoner euro

Författare: Kave Noori
Den irländska dataskyddsmyndigheten, Data Protection Commission, DPC, publicerade ett pressmeddelande om ett tillsynsbeslut mot WhatsApp den 19 januari 2023. Den 24 januari 2023 publicerade European Data Protection Board (EDPB) tillsynsbeslutet på sin hemsida.
I pressmeddelandet om tillsynsbeslutet kan man läsa om DPC:s beslut att utfärda en sanktionsavgift på 5,5 miljoner euro. Därtill har DPC beordrat företaget att förändra hanteringen av personuppgifter i enlighet med dataskyddsförordningen inom 6 månader. Tillsynsärendet inleddes genom ett klagomål från en tysk privatperson som lämnade in ett klagomål för 4,5 år sedan, den 25 maj 2018 vilket är samma dag som dataskyddsförordningen GDPR trädde i kraft.
Klagomålet gällde Facebooks nya användarvillkor som också trädde i kraft i samband med att GDPR gjorde det. WhatsApp’s ståndpunkt har varit att användarna av företagets app ingått ett avtal med det när de godkände de nya användarvillkoren. WhatsApp menade att i princip alla personuppgiftsbehandlingar som företaget utför har sin rättsliga grund i artikel 6(1)(b). Företaget menade att även behandling av personuppgifter för att förbättra tjänsten och uppgifter som behandlades för IT-säkerhet också behandlades av WhatsApp med hänvisning till att behandlingarna var nödvändiga för att fullgöra en avtalsförpliktelse.
DPC höll inte med WhatsApp om att personuppgifter som behandlades för att förbättra tjänsten eller för att bevara IT-säkerheten kunde stödja sig på fullgörande av avtal som rättslig grund. På grund av detta menade DC att WhatsApp hade brutit mot sina förpliktelser att informera sina användare. Eftersom företaget inte tillräckligt tydligt hade redogjort för vilka syften som personuppgifterna behandlades för och med stöd av vilken rättslig grund.
I pressmeddelandet kan man fortsättningsvis läsa att EDPB beordrade DPC att öppna en ny utredning för att avgöra om WhatsApp behandlar känsliga personuppgifter och delar dessa med tredje part som använder uppgifterna för individualiserad reklam, marknadsföring och telemetri. DPC beordrades också att fatta beslut om ifall dessa behandlingar var förenliga med företagets skyldigheter enligt GDPR.
Avslutningsvis kan det nämnas att det framgår av pressmeddelandet att det finns meningsskiljaktigheter mellan DPC och EDPB gällande det här tillsynsbeslutet och granskningen av hur WhatsApp hanterar personuppgifter. I pressmeddelandet kan man läsa att DPC anser att EDPB saknar befogenhet att tvinga en nationell tillsynsmyndighet att inleda öppna och spekulativa utredningar. DPC anser också att EDPB genom att utfärda denna order till myndigheten har överskridit sina befogenheter. DPC understryker att beslutet strider mot den struktur för samarbete och enhetlighet som gäller enligt GDPR. Därför uttrycker DPC att den överväger att ta beslutet från EDPB till EU-domstolen för att få det ogiltigförklarat.
Läs mer:
DPC:s pressmeddelande den 19 januari 2023
EDPB:s nyhet 24 januari 2023 om DPCs tillsynsbeslut
Direktlänk till EDPB:s publicering av Irländska dataskyddsmyndighetens tillsynsbeslut
Pressmeddelande från Noyb, en organisation för digitala rättigheter den 19 januari 2023