WhatsApp får bøde på 225 millioner euro for brud på databeskyttelsesforordningen

Artikel 65-procedure

Sagen har været behandlet af Det Europæiske Databeskyttelsesråd (EDPB) efter proceduren i databeskyttelsesforordningen art. 65, stk. 1, litra a. Dette skete fordi WhatsApp har brugere i alle EU-lande, og andre europæiske tilsynsmyndigheder derfor skulle have indflydelse på afgørelsen, herunder mulighed for at gøre indsigelse.

Det irske datatilsyn har allerede i slutningen af 2020 sendt et udkast til afgørelsen til andre europæiske tilsynsmyndigheder, hvor det blev foreslået at udstede en bøde på 50 millioner euro til WhatsApp. En række europæiske tilsynsmyndigheder gjorde dog indsigelse, og da tilsynene ikke kunne nå til enighed, skulle sagens behandles af EDPB efter artikel 65, stk. 1, litra a.

Afgørelsen fra EDPB

EDPB vedtog en bindende afgørelse den 28. juli 2021. Denne afgørelse indeholdt en instruktion om, at det irske datatilsyn skulle revurdere og forhøje den foreslåede bøde på grundlag af en række faktorer nævnt i afgørelsen.

Med hensyn til udregning af bøden besluttede EDPB, at virksomhedens omsætning ikke kun var relevant for fastsættelsen af det maksimale bødebeløb (i henhold til art. 84, stk. 4-6), men at den også kan benyttes til beregning af selve bøden med henblik på at sikre, at bøden er ”effektiv, forholdsmæssig og afskrækkende”, i overensstemmelse med databeskyttelsesforordningen. EDPB fandt også, at det var den samlede omsætning i moderselskabet Facebook Inc. der skulle indgå i beregningen af bøden.

Derudover tog EDPB stilling til fortolkningen af art. 83, stk. 3, der vedrører forbundene overtrædeæsler af flere bestemmelser i databeskyttelsesforordningen.  Her har EDPB fastslået, at alle overtrædelser skal tages i betragtning ved udregning af bøden, uanset at det ledende tilsyn skal tage hensyn til bødens proportionalitet og det maksimale bødebeløb, der er fastsat i databeskyttelsesforordningen.

I udkastet fra det irske datatilsyn havde man pålagt WhatsApp et krav om at bringe deres behandling af personoplysninger i overensstemmelse med databeskyttelsesforordningen indenfor 6 måneder, men denne deadline har EDPB ændret til maksimalt 3 måneder.

NJORDS bemærkninger

Afgørelsen fra EDPB følger tendensen i øvrige EU-lande, hvor der gives meget store bøder for overtrædelser af databeskyttelsesforordningen. Disse afgørelser står i skarp kontrast til de bødeniveauer, vi på nuværende tidspunkt har set i Danmark, både i oplæg fra Datatilsynet og ved domstolene. Den første sag i rækken af bødesager – sagen mod IDdesign A/S (nu Ilva A/S), hvor bøden i byretten blev fastsat til 100.000 kr. (se tidligere nyhed her) –  er anket til landsretten, men afventer fortsat behandling.

Hvis denne tendens i Danmark fortsætter, er der en betydelig risiko for, at vi fremover vil blive betragtet som et ”safe haven” i forhold til bøder. Det kan medføre, at virksomheder vælger at placere sig i Danmark netop for at undgå større bøder, hvis de overtræder databeskyttelsesforordningen.