Irland: WhatsApp bötfälls med 225 miljoner euro för bristande information enligt GDPR

Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt WhatsApp Ireland Ltd. med 225 miljoner euro för brott mot artiklarna 5.1 (a), 12, 13 och 14 i dataskyddsförordningen (“GDPR”). DPC har också beordrat WhatsApp att vidta en rad specifika avhjälpande åtgärder för att efterleva reglerna i GDPR.

Av beslutet framgår bland annat att DPC blivit tvungna att ompröva och höja myndighetens föreslagna sanktionsavgifter mot WhatsApp på grundval av Europeiska dataskyddsstyrelsens (“EDPB”) bindande beslut om tvistlösning enligt artikel 65.1 (a) GDPR. Enligt EDPB har WhatApp begått allvarliga brott mot artiklarna 12, 13 och 14 GDPR genom den information som lämnats till användarna av tjänsten, vilket påverkat användarnas förmåga att förstå de berättigade intressen som använts som grund för WhatsApps personuppgiftsbehandling. EDPB anser också att WhatsApp överträtt principen om öppenhet enligt artikel 5.1 (a) GDPR varför de begärt att denna överträdelse ska återspeglas i det slutliga bötesbeloppet.

Vad gäller beräkningen av sanktionsavgiften menar EDPB att ett företags omsättning inte uteslutande är relevant för fastställandet av det högsta bötesbeloppet enligt artikel 83.4–6 GDPR, utan att man också ska säkerställa att böterna är effektiva, proportionella och avskräckande i enlighet med artikel 83.1 i GDPR. Därför ansåg EDPB att den konsoliderade omsättningen för WhatsApps moderbolag, Facebook Inc., borde ingå i beräkningen av omsättningen. Vidare lämnade EDPB för första gången ett förtydligande om tolkningen av artikel 83.3 GDPR, och betonade att alla överträdelser för samma eller kopplade personuppgiftsbehandlingar bör beaktas vid beräkningen av bötesbeloppet.

Sanktionsavgifterna är fördelade enligt nedan.

  • 90 miljoner euro för brott mot artikel 5.1 (a) GDPR
  • 30 miljoner euro för brott mot artikel 12 GDPR
  • 30 miljoner euro för brott mot artikel 13 GDPR
  • 75 miljoner euro för brott mot artikel 14 GDPR

Du kan läsa DPC:s pressmeddelande här, EDPB:s pressmeddelande här, EDPB:s bindande beslut här och DPC:s slutliga beslut här, samtliga endast tillgängliga på engelska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.