GDPR NYTT: Lärdomar från EDPB:s beslut avseende WhatsApp

Nyligen utfärdade den irländska dataskyddsmyndigheten (DPC) en sanktionsavgift om motsvarande 2.3 miljarder kronor mot WhatsApp Irland för att bolaget hanterat rätten till information och öppenhetsprincipen i strid med GDPR. DPC delade sitt utkast till beslut med övriga dataskyddsmyndigheter redan i december 2020 men möttes av flertalet invändningar de inte kunde bemöta. Frågan hänsköts då till europeiska dataskyddsstyrelsen (EDPB) som antog ett tvistelösningsbeslut med stöd av artikel 65 under juli 2021. Nedan går vi igenom några lärdomar från EDPB:s bindande beslut.

  • Förhållandet mellan informationsplikten och öppenhetsprincipen (artiklarna 12-14 och 5.1.a)

EDPB klargjorde att en överträdelse av artiklarna 12–14 kan (men inte nödvändigtvis) även, beroende på omständigheterna, innebära en överträdelse av öppenhetsprincipen i artikel 5.1.a. I detta fall ansåg EDPB, mot bakgrund av överträdelsernas allvar och övergripande karaktär och konsekvenser, att det även förekommit en överträdelse av artikel 5.1.a.  

  • Otydlig koppling mellan laglig grund och annan information

EDPB ansåg att WhatsApps integritetspolicy inte innehöll tillräcklig specifik information om kopplingen mellan berättigat intresse som laglig grund och resterande information såsom vilken behandling det rör, vilka kategorier av personuppgifter och för vems (WhatsApps eller tredje parts) intresse behandlingen utförs. Med andra ord ska det i informationen till de registrerade tydligt gå att utläsa kopplingen mellan varje personuppgift och behandling till ett ändamål och laglig grund. Öppenhetsprincipen kräver korrekt och tydlig presentation!

  • Ingen anonymisering om möjlighet att omidentifiera personuppgifter 

EDPB klargjorde att det var irrelevant för bedömningen att WhatsApp saknade avsikt att omidentifiera icke-användares data. Bara det faktum att de hade möjlighet att omidentifiera var tillräckligt för att konstatera att personuppgifter inte hade anonymiserats på korrekt sätt. 

  • Beräkning av sanktionsavgift

EDPB beslutade att ett företags omsättning inte enbart är relevant för fastställandet av det högsta bötesbeloppet utan även kan beaktas vid beräkningen av själva böterna, när så är lämpligt, för att säkerställa att böterna är effektiva, proportionella och avskräckande. I detta fall fann EDPB att moderbolagets konsoliderade omsättning (Facebook Inc.) skulle tas med i beräkningen av sanktionsavgiften.

Vidare klargjorde EDPB för första gången tolkningen av artikel 83.3. EDPB ansåg att när det gäller flera överträdelser för samma eller sammanlänkad behandling bör alla överträdelser beaktas vid beräkningen av sanktionsavgiften. Detta gäller oberoende av tillsynsmyndigheternas skyldighet att ta hänsyn till böternas proportionalitet och att respektera det högsta bötesbelopp som fastställs i dataskyddsförordningen. Det innebär att sanktionen beräknas separat för varje överträdelse, slås ihop och sedan säkerställs att det totala beloppet inte överstiger det belopp som fastställs för den allvarligaste överträdelsen. När det gäller att titta på ett företags globala omsättning under föregående budgetår enligt artikel 83.5 fastslog EDPB att man ska utgå från datumet för tillsynsmyndighetens slutgiltiga beslut, dvs. 2020 i detta fall.

Sammanfattningsvis kan konstateras att den irländska dataskyddsmyndigheten var tvungen att ändra stora delar av sitt beslut då de andra dataskyddsmyndigheterna inte var nöjda med utkastet till beslut. Trots att tillsynen var egeninitierad (dvs. inte hade sitt ursprung i ett klagomål) visar EDPB:s beslut att den ansvariga tillsynsmyndigheten ändå måste söka samsyn om både tillsynens utredning samt slutsatser hos övriga berörda dataskyddsmyndigheter. 

Länk till EDPB:s beslut: https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf

Länk till DPC:s beslut: https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf