Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 5,5 miljoner euro mot WhatsApp Ireland Limited för överträdelser av dataskyddsförordningen (GDPR). WhatsApp Ireland har ålagts att inom sex månader se till att företagets personuppgiftsbehandling är förenlig med GDPR.
Av beslutet framgår att DPC:s granskning gällde ett klagomål om WhatsApp-tjänsten som lämnats in den 25 maj 2018 av en tysk registrerad. Före den 25 maj 2018, den dag då GDPR började tillämpas, uppdaterade WhatsApp Ireland sina användarvillkor och informerade användarna om att om de ville fortsätta att ha tillgång till WhatsApp-tjänsten efter införandet av GDPR, ombads befintliga (och nya) användare att klicka på ”godkänn och fortsätt” för att bekräfta att de godkänner de uppdaterade användarvillkoren.
WhatsApp Ireland ansåg att ett avtal hade ingåtts mellan WhatsApp Ireland och användaren när denne godkände de uppdaterade användarvillkoren. WhatsApp Ireland ansåg också att behandlingen av användarnas uppgifter i samband med tillhandahållandet av tjänsten var nödvändig för att fullgöra avtalet, inbegripet tillhandahållandet av förbättringar av tjänsten och säkerhetsfunktioner, så att behandlingen var laglig enligt artikel 6.1 (b) GDPR.
Klaganden hävdade att WhatsApp Ireland, i motsats till WhatsApp Irelands uttalade ståndpunkt, i själva verket försökte förlita sig på samtycke för att tillhandahålla en laglig grund för sin behandling av användarnas uppgifter. De hävdade att WhatsApp Ireland, genom att göra tillgängligheten till sina tjänster beroende av att användarna godtar de uppdaterade användarvillkoren, i själva verket tvingade dem att samtycka till behandlingen av deras personuppgifter för att förbättra tjänsterna och säkerheten. Den klagande hävdade att detta stred mot GDPR.
Efter en omfattande utredning utarbetade DPC ett utkast till beslut och överlämnade det till övriga tillsynsmyndigheter i EU/EES i enlighet med artikel 60 GDPR. DPC konstaterade särskilt följande:
(i) I strid med sina skyldigheter i förhållande till öppenhet, information i förhållande till den rättsliga grunden som WhatsApp Ireland åberopade var inte tydligt beskrivet för användarna, med resultatet att användarna inte hade tillräcklig klarhet om vilka behandlingsåtgärder som utfördes på deras personuppgifter, för vilket eller vilka ändamål och med hänvisning till vilken av de sex rättsliga grunder som identifieras i artikel 6 GDPR. DPC ansåg att en brist på transparens i sådana grundläggande frågor stred mot artiklarna 12 och 13.1 (c) GDPR. DPC, som redan hade ålagt WhatsApp Ireland mycket höga böter på 225 miljoner euro för överträdelser av denna och andra transparensskyldigheter under samma tidsperiod, föreslog inte några ytterligare böter eller korrigerande åtgärder, eftersom detta redan hade gjorts i en tidigare undersökning. Samtliga övriga tillsynsmyndigheter instämde i denna del av DPC:s utkast till beslut.
(ii) Under omständigheter där DPC fann att WhatsApp Ireland i själva verket inte förlitade sig på användarnas samtycke som en rättslig grund för sin behandling av deras personuppgifter, kunde den ”påtvingade samtyckesaspekten” av klagomålen inte upprätthållas. Därefter gick DPC vidare till att överväga om WhatsApp Ireland var skyldigt att förlita sig på samtycke som sin rättsliga grund i samband med tillhandahållandet av tjänsten, inklusive för förbättring av tjänsten och säkerhetsändamål. Här konstaterade DPC att WhatsApp Ireland inte var skyldigt att förlita sig på samtycke. Ingen annan tillsynsmyndighet gjorde någon invändning mot denna analys och följaktligen har denna del av klagomålet avvisats. Den tyska tillsynsmyndigheten till vilken klagomålet ursprungligen lämnades in blev ansvarig för att anta ett separat beslut för de delar som har avvisats och meddela det till klaganden och informera WhatsApp Ireland i enlighet med artikel 60.9 GDPR.
DPC fortsatte med att överväga om GDPR i princip hindrade WhatsApp Ireland från att förlita sig på den rättsliga grund för avtal som företaget åberopade och drog slutsatsen att det inte fanns något hinder. Sex av de övriga tillsynsmyndigheterna gjorde invändningar och ansåg att WhatsApp Ireland inte borde tillåtas åberopa den avtalsrättsliga grunden på grund av att tillhandahållandet av förbättrad service och säkerhet inte kunde sägas vara nödvändigt för att utföra de centrala delarna av vad som sades vara en mycket mer begränsad form av avtal.
DPC var av en annan åsikt och menade att WhatsApp-tjänsten inkluderar, och faktiskt verkar förutsätta, tillhandahållandet av en tjänst som inkluderar förbättring av tjänsten och säkerhet. Enligt DPC är detta en central del av den överenskommelse som träffas mellan användarna och deras valda tjänsteleverantör, och utgör en del av det avtal som ingås vid den tidpunkt då användarna accepterar användarvillkoren.
Efter att ha diskuterat med övriga tillsynsmyndigheter stod det klart att det inte gick att nå en överenskommelse. I enlighet med sina skyldigheter enligt artikel 60.4 GDPR hänsköt DPC då de omtvistade frågorna till Europeiska dataskyddsstyrelsen (EDPB).
EDPB antog sitt beslut den 5 december 2022. EDPB:s beslut avvisade ett antal invändningar från övriga tillsynsmyndigheter. EDPB bekräftade också DPC:s ståndpunkt i förhållande till WhatsApp Irelands överträdelse av sina skyldigheter avseende transparens, endast med förbehåll för införandet av ytterligare en överträdelse av artikel 5.1 (a) i principen om rättvisa. EDPB hade dock en annan uppfattning än DPC i frågan om den rättsliga grunden och fann att WhatsApp Ireland i princip inte hade rätt att åberopa den rättsliga grunden avtal som rättslig grund för sin behandling av personuppgifter i syfte att förbättra tjänsterna och säkerheten.
Det slutliga beslut som antogs av DPC den 12 januari 2023 återspeglar EDPB:s bindande beslut, enligt vad som anges ovan. DPC:s beslut innehåller följaktligen slutsatser om att WhatsApp Ireland inte har rätt att förlita sig på den avtalsrättsliga grunden för leverans av tjänsteförbättring och säkerhet, exklusive vad EDPB kallar IT-säkerhet, för WhatsApp-tjänsten, och att dess behandling av dessa uppgifter hittills, i påstådd tillit till den avtalsrättsliga grunden, utgör en överträdelse av artikel 6.1 GDPR.
När det gäller sanktioner, och mot bakgrund av denna ytterligare överträdelse av GDPR, har DPC ålagt WhatsApp Ireland administrativa sanktionsavgifter på 5,5 miljoner euro och beordrat att WhatsApp Ireland måste få sin behandling att överensstämma med GDPR inom en period av 6 månader.