Hoppa till innehåll

Europeiska dataskyddsstyrelsen publicerade ett tvistlösningsbeslut gällande WhatsApp – Irlands dataskyddsmyndighet ålades att beräkna påföljdsavgiften på nytt

3.9.2021 14.03 | Publicerad på svenska 10.9.2021 kl. 15.22
Nyhet

Europeiska dataskyddsstyrelsens bindande tvistlösningsbeslut antogs den 28 juli och publicerades den 2 september efter att den irländska tillsynsmyndigheten meddelat ett beslut baserat på det till WhatsApp Ireland Ltd. Besluten gäller den irländska dataskyddsmyndighetens tolkning av huruvida WhatsApp iakttar skyldigheten enligt dataskyddsförordningen att informera de registrerade om behandlingen av personuppgifter på ett transparent sätt. Utifrån en undersökning upptäckte den irländska tillsynsmyndigheten allvarliga dataskyddsöverträdelser i WhatsApps verksamhet i fråga om transparens.

Irlands dataskyddsmyndighet hade i sin utredning som inleddes år 2018 utrett huruvida WhatsApp har iakttagit skyldigheterna i dataskyddsförordningen gällande transparens i fråga om uppgifter som gäller  behandlingen av personuppgifter. Utredningen riktades även mot hur de registrerade informerats om behandlingen av uppgifter mellan WhatsApp och övriga Facebook-företag.

Ärendet behandlades i ett samarbete mellan dataskyddsmyndigheterna inom Europeiska ekonomiska samarbetsområdet, eftersom Irlands tillsynsmyndighet avslog de invändningar som EU-ländernas tillsynsmyndigheter framförde om utkastet till beslut och hänsköt ärendet till dataskyddsstyrelsens tvistlösningsförfarande.

På basis av dataskyddsstyrelsens tvistlösningsförbud preciserade den irländska dataskyddsmyndigheten sitt beslut i fråga om förseelser gällande transparens samt den administrativa påföljdsavgiften. Utöver de överträdelser som specificeras i Irlands utkast till beslut upptäckte dataskyddsstyrelsen även att WhatsApps information till användarna var bristfällig också i fråga om den personuppgiftsansvariges berättigade intresse som behandlingen av personuppgifter grundar sig på.

Den irländska tillsynsmyndigheten förelade en administrativ påföljdsavgift på 225 miljoner euro för WhatsApp IE. Enligt dataskyddsstyrelsens beslut beaktades i fastställandet av den slutgiltiga påföljdsavgiften bland annat antalet överträdelser och den totala omsättningen hos moderbolaget Facebook Inc. Dataskyddsstyrelsen förtydligade för första gången sin tolkning av artikel 83.3 i dataskyddsförordningen, enligt vilken överträdelser som gäller en och samma eller sammankopplade uppgiftsbehandlingar ska beaktas vid beräkningen av sanktionsavgiftens belopp.

Dessutom ansåg dataskyddsstyrelsen att det är viktigt att behandlingsåtgärder som gäller transparens ska göras förenliga med dataskyddsförordningen så snabbt som möjligt. Således förkortades tidsfristen från sex till tre månader.

Beslutet från Irlands dataskyddsmyndighet har publicerats i ett register som samlar de beslut som fattas i det gränsöverskridande samarbetet mellan dataskyddsmyndigheterna i EES-länderna.

Mer information:

Irländska tillsynsmyndighetens beslut på dataskyddsstyrelsens webbplats (PDF)

Europeiska dataskyddsstyrelsens tvistlösningsbeslut: Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR

Irländska tillsynsmyndighetens meddelande på myndighetens webbplats: Data Protection Commission announces decision in WhatsApp inquiry (2.9.2021)

Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats: EDPB requests that Irish SA amends WhatsApp decision with clarifications on transparency and on the calculation of the amount of the fine due to multiple infringements (2.9.2021)

Artikel 65 – Vanliga frågor på Europeiska dataskyddsstyrelsens webbplats (på engelska)

Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende EU-organ som utgörs av EU:s nationella tillsynsmyndigheter och representanter för europeiska datatillsynsmannen. Även EES-länderna Island, Norge och Liechtenstein är medlemmar i dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen ansvarar för en enhetlig tillämpning av EU:s allmänna dataskyddsförordning och dataskyddsdirektivet som gäller för polis- och straffrättsmyndigheter.

Tillbaka till toppen