Kæmpebøde til Whatsapp: Skal betale 1,7 milliarder kroner for brud på GDPR
Whatsapp skal betale 225 millioner euro – svarende til lige under 1,7 mia. danske kroner – for brud på GDPR, vurderer det irske datatilsyn, som netop har offentliggjort sin afgørelse i sagen.
Bøden tager andenpladsen for største GDPR-smæk hidtil og er kun overgået af bøden til Amazon på 746 millioner euro, som tilsynsmyndigheden i Luxembourg uddelte i starten af august.
Sagen med Whatsapp, som er ejet af Facebook, har kørt i flere år og startede med, at den irske tilsynsmyndighed umiddelbart efter at GDPR trådte i kraft den 25. maj 2018 modtog flere klager over Whatsapps persondatabehandling. Virksomheden har nemlig europæisk hovedsæde i Irland.
Efterfølgende startede myndigheden en sag af egen drift den 10. december samme år for at undersøge gennemsigtigheden af Whatsapps databehandling over for både brugere og ikke-brugere. Man har blandt andet undersøgt, hvor meget Whatsapp fortæller registrerede om delingen af oplysninger med andre Facebook-firmaer.
Endte som artikel 65-sag
Fordi beskedtjenesten har brugere i alle EU-lande, siger GDPR, at de andre europæiske tilsynsmyndigheder også skal have indflydelse på sagens afgørelse.
Derfor sendte det irske datatilsyn et udkast til en afgørelse til alle andre EU-tilsyn i slutningen af sidste år. Her foreslog man en bøde på 50 millioner euro til Whatsapp – en størrelse der er identisk med det franske tilsyns bøde til Google i starten af januar 2019, som holdte en førsteplads for GDPR-bødestørrelse indtil Amazons straf for godt en måned siden.
Europæiske tilsynsmyndigheder, der har gjort indsigelser mod Irlands udkast til en afgørelse
Men otte tilsynsmyndigheder, som er listet i faktaboksen til højre, gjorde indsigelser mod Irlands vurdering, og da man ikke kunne blive enige, forvandlede sagen sig til en artikel 65-sag. Datatilsynet i Danmark er ikke en af de tilsynsmyndigheder, der har gjort indsigelser.
Det betyder, at sagen endte i Det Europæiske Databeskyttelsesråd, og da man kom frem til, at de andre EU-tilsyns indsigelser var ‘relevante og rimelige’, gav man i slutningen af juli Irland en måned til at lave en endelig afgørelse i sagen, hvor man så skulle tage højde for de andre myndigheders holdninger.
Bødestørrelsen er siden udkastet vokset med 175 millioner euro, og derudover skal Whatsapp også ændre sin behandlingspraksis for fremover at leve op til GDRP’s krav, beordrer det irske datatilsyn i sin afgørelse.
Whatsapp anker sagen
Afgørelsen falder langt fra i god jord hos Whatsapp, der i en udtalelse understreger, at bøden er helt ude af proportioner i forhold til tidligere bøder givet for GDPR-overtrædelser:
»Vi er uenige i afgørelsen i dag omkring den gennemsigtighed, vi gav folk i 2018, og sanktionerne er fuldkomne uforholdsmæssige. Vi vil anke denne sag,« skriver man i en mail og uddyber:
»Whatsapp er engageret i at tilbyde en sikker og privat tjeneste. Vi har arbejdet på at sikre, at den information, vi giver, er gennemsigtig og omfattende, og det vil vi fortsætte med.«
I mailen pointerer Whatsapp også, at virksomheden ofte møder kritik for at have en for lang og kompliceret privatlivspolitik. Hvis man skal leve op til de irske og europæiske krav, vil teksten blive længere og mere kompleks, og det er man ikke overbevist om vil hjælpe brugerne.
Europas anden artikel 65-sag
Sagen med Whatsapp er den anden artikel 65-sag hidtil, hvor den første handlede om Twitters offentliggørelse af private tweets.
Afgørelsen i den sag kom sidste november, hvor Twitter fik en bøde på blot 450.000 euro – eller omkring 3,3 millioner danske kroner.
I sagen med Twitter var der også stor uenighed mellem de forskellige europæiske tilsynsmyndigheder, og dengang fortalte vicekommissær for det irske datatilsyn, Graham Doyle, at det var umuligt at nå til enighed, fordi tilsynsmyndighederne ikke kun var uenige med Irland, men også med hinanden.
Det er på trods af, at tilsynsmyndighederne har en fælles ambition om at harmonisere GDPR-praksis på tværs af Europa.
Læs mere om WhatsApp-afgørelsen, om de andre tilsynsmyndigheders indvendinger og om de yderligere sanktioner fra Irland i en artikel på Version2’s søstermedie ComplianceTech i morgen.
Artiklen er opdateret den 2/9 2021 klokken 12.54 med faktaboksen og oplysningen, at datatilsynet i Danmark ikke har gjort indsigelser mod Irlands udkast til en afgørelse.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
