Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt WhatsApp Ireland Ltd. med 225 miljoner euro för brott mot artiklarna 5.1 (a), 12, 13 och 14 i dataskyddsförordningen (“GDPR”). DPC har också beordrat WhatsApp att vidta en rad specifika avhjälpande åtgärder för att efterleva reglerna i GDPR.
Av beslutet framgår bland annat att DPC blivit tvungna att ompröva och höja myndighetens föreslagna sanktionsavgifter mot WhatsApp på grundval av Europeiska dataskyddsstyrelsens (“EDPB”) bindande beslut om tvistlösning enligt artikel 65.1 (a) GDPR. Enligt EDPB har WhatApp begått allvarliga brott mot artiklarna 12, 13 och 14 GDPR genom den information som lämnats till användarna av tjänsten, vilket påverkat användarnas förmåga att förstå de berättigade intressen som använts som grund för WhatsApps personuppgiftsbehandling. EDPB anser också att WhatsApp överträtt principen om öppenhet enligt artikel 5.1 (a) GDPR varför de begärt att denna överträdelse ska återspeglas i det slutliga bötesbeloppet.
Vad gäller beräkningen av sanktionsavgiften menar EDPB att ett företags omsättning inte uteslutande är relevant för fastställandet av det högsta bötesbeloppet enligt artikel 83.4–6 GDPR, utan att man också ska säkerställa att böterna är effektiva, proportionella och avskräckande i enlighet med artikel 83.1 i GDPR. Därför ansåg EDPB att den konsoliderade omsättningen för WhatsApps moderbolag, Facebook Inc., borde ingå i beräkningen av omsättningen. Vidare lämnade EDPB för första gången ett förtydligande om tolkningen av artikel 83.3 GDPR, och betonade att alla överträdelser för samma eller kopplade personuppgiftsbehandlingar bör beaktas vid beräkningen av bötesbeloppet.
Sanktionsavgifterna är fördelade enligt nedan.
- 90 miljoner euro för brott mot artikel 5.1 (a) GDPR
- 30 miljoner euro för brott mot artikel 12 GDPR
- 30 miljoner euro för brott mot artikel 13 GDPR
- 75 miljoner euro för brott mot artikel 14 GDPR