Den 2 september 2021 meddelade Data Protection Commission (DPC) sitt beslut att bötfälla WhatsApp Ireland Ltd. med 225 miljoner euro för överträdelser av registrerades rätt till information enligt dataskyddsförordningen (GDPR).
DPC drog följande slutsatser:
- Att WhatsApp inte tillhandahållit nödvändig information till WhatsApp-användare i enlighet med artikel 13 GDPR.
- Att WhatsApp inte tillhandahållit information om WhatsApp-användares kontakter (icke-användare) vars personuppgifter behandlades för att visa användarna vilka av deras kontakter som också var WhatsApp-användare i enlighet med artikel 14 GDPR.
- Att WhatsApp inte tillhandahållit information i en lättillgänglig form i enlighet med artikel 12 GDPR.
- Att WhatsApp inte uppfyllt den övergripande principen om öppenhet i artikel 5.1 (a) GDPR.
DPC krävde också att WhatsApp skulle tillhandahålla nödvändig informationen inom tre månader från dagen för beslutet, dvs. den 20 augusti 2020, och utfärdade en reprimand.
Eftersom WhatsApps behandling av personuppgifter väsentligt påverkar registrerade i mer än en medlemsstat, och eftersom WhatsApps enda etablering i EU var i Irland, utlöstes bestämmelserna om samarbete mellan tillsynsmyndigheter i enlighet med artikel 60 GDPR. För att följa detta lämnade DPC in ett utkast till beslut till alla andra tillsynsmyndigheter. Sex kommenterade beslutet, sex lämnade relevanta och motiverade invändningar. Det var inte möjligt för inblandande parter att nå samförstånd på ett antal punkter, varför dessa lämnades till Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) för beslut enligt artikel 65 GDPR. EDPB:s slutsatser har införlivats i beslutet.
I beslutet fastställs att information till registrerade vid behandling av personuppgifter ska vara detaljerad, mycket mer detaljerade uppgifter än vad som för närvarande vanligtvis är fallet, och att informationen måste vara lättillgänglig, utan användning av flera länkade dokument som kan vara svåra att hitta och ta till sig. I beslutet ingår också EDPB:s slutsatser om hur sanktionsavgifterna ska beräknas.
Slutligen kommenteras i beslutet innebörden av personuppgifter och anonymisering, den bakomliggande anledningen utesluts som en faktor vid bedömningen av risken för återidentifiering. Vidare avvisas argumenten om att Facebook bara var ett personuppgiftsbiträde för sina användare när de behandlade uppgifter som inte var användaruppgifter.
I artikel 12.1 GDPR anges att information som lämnas till en registrerad måste vara i lätt tillgänglig form. Information som finns i flera länkade dokument är inte alltid lättillgänglig, särskilt om dokumenten innehåller överlappande, men något olika information.
I beslutet konstateras följande: “Användaren bör inte behöva anstränga sig för att få tillgång till den föreskrivna informationen; han/hon bör inte heller behöva undra om han/hon har uttömt alla tillgängliga informationskällor och han/hon bör inte heller behöva försöka jämka samman diskrepanser mellan olika delar av informationen som finns på olika ställen.”
Beslutet hindrar inte användningen av länkade dokument. Under vissa omständigheter kan det finnas goda skäl att använda denna teknik. Personuppgiftsansvariga måste dock se till att det finns ett enkelt sätt för en registrerad att veta att hon/hon har sett all relevant information, till exempel genom att även ha ett sammansatt meddelande, och måste undvika inkonsekvenser mellan dokumenten.
I beslutet noteras att WhatsApp under utredningen vidtagit åtgärder för att ta itu med vissa av tillsynsmyndighetens farhågor om informationens tillgänglighet.
Av beslutet kan således följande slutsatser dras:
- Undvik en kontinuerlig rullande av information, utan att användaren kan se alternativ för genvägar efter startsidan.
- Undvik att bädda in ett integritetsmeddelande i juridiska termer, vilket skulle kunna få läsarna att avstå från att läsa på grund av dokumentets längd.
I artikel 13.1 och 13.2 GDPR anges vidare vilken information som ska ingå i ett integritetsmeddelande när personuppgifter samlas in från den registrerade.
WhatsApp noterade att detaljnivån i företagets integritetsmeddelande överensstämde med den detaljnivå som andra företag i samma bransch hade. DPC avvisade detta och konstaterade att en bransch inte kan tillåtas fastställa sin egen nivå av efterlevnad. Samtidigt kommenterade DPC att det fanns ett överflöd av text som kommunicerade väldigt lite, och varnade för långa men oinformativa meddelanden.
Den standard som fastställs i beslutet går betydligt längre än vad som gäller för de flesta integritetsmeddelanden. Det kommer därför krävas mycket arbete för att skapa den öppenhet som krävs enligt gällande dataskyddsregler.
Sammanfattningsvis kan följande konstateras. Det är viktigt att personuppgiftsansvariga tillhandahåller lättillgängliga integritetsmeddelanden, genom att bland annat vara försiktiga med flera länkade dokument, samt att personuppgiftsansvarigas integritetsmeddelanden innehåller detaljerad information om behandlingen av de registrerades personuppgifter.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik och dataskydd för råd.