Databeskyttelsesrådet anmoder den irske tilsynsmyndighed om at ændre WhatsApp-afgørelse med præciseringer af gennemsigtigheden og beregningen af bødens størrelse som følge af flere overtrædelser

2 September 2021

Bruxelles, den 2. september — Den 28. juli vedtog Databeskyttelsesrådet en tvistbilæggelsesafgørelse på grundlag af artikel 65 i GDPR. Denne bindende afgørelse har til formål at afhjælpe en tvist opstået på baggrund af et udkast til afgørelse udstedt af den irske tilsynsmyndighed som ledende tilsynsmyndighed vedrørende WhatsApp Ireland Ltd. (WhatsApp IE) og de efterfølgende indsigelser fra en række berørte tilsynsmyndigheder. I overensstemmelse med GDPR er Databeskyttelsesrådets bindende afgørelse nu blevet offentliggjort efter meddelelsen til virksomheden af den irske tilsynsmyndigheds endelige afgørelse.

Efter sin vurdering var Databeskyttelsesrådet af den opfattelse, at den irske tilsynsmyndighed burde ændre sit udkast til afgørelse med hensyn til overtrædelser af princippet om gennemsigtighed, beregningen af bøden og fristen for at efterkomme afgørelsen.

Med hensyn til gennemsigtighed blev der allerede i den irske tilsynsmyndigheds udkast til afgørelse konstateret en alvorlig overtrædelse af artikel 12-14 i GDPR. Databeskyttelsesrådet identificerede yderligere mangler i forbindelse med de fremlagte oplysninger, som påvirker brugernes evne til at forstå de legitime interesser, der forfølges.  Databeskyttelsesrådet anmodede derfor den irske tilsynsmyndighed om at medtage en konstatering af overtrædelse af artikel 13, stk. 1, litra d), i GDPR i sin afgørelse.

Databeskyttelsesrådet præciserede desuden, at selv om ikke enhver overtrædelse af artikel 12-14 i GDPR nødvendigvis indebærer en overtrædelse af artikel 5, stk. 1, litra a), i GDPR, er der i dette særlige tilfælde og i lyset af overtrædelsernes alvor og overordnede karakter og konsekvenser sket en overtrædelse af gennemsigtighedsprincippet i artikel 5, stk. 1, litra a), i GDPR.

Med hensyn til WhatsApp IE's indsamling af data om ikke-brugere — når brugere beslutter at anvende funktionen Contact Feature — fandt Databeskyttelsesrådet, at den procedure, der anvendes af WhatsApp IE, i det foreliggende tilfælde ikke fører til anonymisering af de indsamlede personoplysninger.

Med hensyn til den pålagte bøde og beregningen af bøden besluttede Databeskyttelsesrådet, at en virksomheds omsætning ikke udelukkende er relevant for fastsættelsen af det maksimale bødebeløb i overensstemmelse med artikel 83, stk. 4-6, i GDPR, men at den også kan tages i betragtning ved beregningen af selve bøden, hvor det er relevant, for at sikre, at bøden er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning i overensstemmelse med artikel 83, stk. 1, i GDPR. I dette tilfælde fandt Databeskyttelsesrådet, at moderselskabets (Facebook Inc.'s) konsoliderede omsætning skulle indgå i beregningen af omsætningen.

Desuden præciserede Databeskyttelsesrådet for første gang fortolkningen af artikel 83, stk. 3, i GDPR. Når der er tale om flere overtrædelser i forbindelse med de samme eller tilknyttede behandlingsaktiviteter, bør alle overtrædelserne tages i betragtning ved beregningen af bødens størrelse. Dette er til trods for tilsynsmyndighedernes pligt til at tage hensyn til bødens proportionalitet og til at overholde det maksimale bødebeløb, der er fastsat i GDPR.

Den irske tilsynsmyndigheds udkast til afgørelse indeholdt endvidere et påbud om at bringe behandlingsaktiviteterne i overensstemmelse med reglerne inden for en periode på 6 måneder. Databeskyttelsesrådet fandt det af afgørende betydning, at overholdelsen af gennemsigtighedsforpligtelserne sikres inden for den kortest mulige tidsramme. Den irske tilsynsmyndighed blev derfor anmodet om at ændre fristen for overholdelse på seks måneder til en frist på tre måneder.

Denne bindende afgørelse blev rettet til de berørte tilsynsmyndigheder, og den irske tilsynsmyndighed som ledende tilsynsmyndighed har vedtaget sin nationale afgørelse på grundlag af Databeskyttelsesrådets afgørelse. WhatsApp IE blev underrettet om den nationale afgørelse med Databeskyttelsesrådets afgørelse som bilag.

Denne nuværende afgørelse berører ikke vurderinger, som Det Europæiske Databeskyttelsesråd måtte blive anmodet om at foretage i andre tilfælde, herunder med de samme parter.

Yderligere oplysninger om proceduren i artikel 65 i GDPR findes under spørgsmål og svar om artikel 65