Kæmpebøde til Whatsapp: Skal betale 1,7 milliarder kroner for brud på GDPR

Whatsapp får en bøde på 225 mio. euro - svarende til omkring 1,7 mia. danske kroner - for brud på GDPR. Illustration: dennizn/Bigstock
Det irske datatilsyn har netop smækket beskedtjenesten Whatsapp med den næststørste GDPR-bøde hidtil på lige under 1,7 milliarder danske kroner. Men tech-giganten er ikke tilfreds og vil anke sagen.

Whatsapp skal betale 225 millioner euro – svarende til lige under 1,7 mia. danske kroner – for brud på GDPR, vurderer det irske datatilsyn, som netop har offentliggjort sin afgørelse i sagen.

Bøden tager andenpladsen for største GDPR-smæk hidtil og er kun overgået af bøden til Amazon på 746 millioner euro, som tilsynsmyndigheden i Luxembourg uddelte i starten af august.

Sagen med Whatsapp, som er ejet af Facebook, har kørt i flere år og startede med, at den irske tilsynsmyndighed umiddelbart efter at GDPR trådte i kraft den 25. maj 2018 modtog flere klager over Whatsapps persondatabehandling. Virksomheden har nemlig europæisk hovedsæde i Irland.

Efterfølgende startede myndigheden en sag af egen drift den 10. december samme år for at undersøge gennemsigtigheden af Whatsapps databehandling over for både brugere og ikke-brugere. Man har blandt andet undersøgt, hvor meget Whatsapp fortæller registrerede om delingen af oplysninger med andre Facebook-firmaer.

Læs også: Amazon får rekordstor GDPR-bøde på 746 millioner euros

Endte som artikel 65-sag

Fordi beskedtjenesten har brugere i alle EU-lande, siger GDPR, at de andre europæiske tilsynsmyndigheder også skal have indflydelse på sagens afgørelse.

Derfor sendte det irske datatilsyn et udkast til en afgørelse til alle andre EU-tilsyn i slutningen af sidste år. Her foreslog man en bøde på 50 millioner euro til Whatsapp – en størrelse der er identisk med det franske tilsyns bøde til Google i starten af januar 2019, som holdte en førsteplads for GDPR-bødestørrelse indtil Amazons straf for godt en måned siden.

Men otte tilsynsmyndigheder, som er listet i faktaboksen til højre, gjorde indsigelser mod Irlands vurdering, og da man ikke kunne blive enige, forvandlede sagen sig til en artikel 65-sag. Datatilsynet i Danmark er ikke en af de tilsynsmyndigheder, der har gjort indsigelser.

Det betyder, at sagen endte i Det Europæiske Databeskyttelsesråd, og da man kom frem til, at de andre EU-tilsyns indsigelser var ‘relevante og rimelige’, gav man i slutningen af juli Irland en måned til at lave en endelig afgørelse i sagen, hvor man så skulle tage højde for de andre myndigheders holdninger.

Bødestørrelsen er siden udkastet vokset med 175 millioner euro, og derudover skal Whatsapp også ændre sin behandlingspraksis for fremover at leve op til GDRP’s krav, beordrer det irske datatilsyn i sin afgørelse.

Whatsapp anker sagen

Afgørelsen falder langt fra i god jord hos Whatsapp, der i en udtalelse understreger, at bøden er helt ude af proportioner i forhold til tidligere bøder givet for GDPR-overtrædelser:

»Vi er uenige i afgørelsen i dag omkring den gennemsigtighed, vi gav folk i 2018, og sanktionerne er fuldkomne uforholdsmæssige. Vi vil anke denne sag,« skriver man i en mail og uddyber:

»Whatsapp er engageret i at tilbyde en sikker og privat tjeneste. Vi har arbejdet på at sikre, at den information, vi giver, er gennemsigtig og omfattende, og det vil vi fortsætte med.«

I mailen pointerer Whatsapp også, at virksomheden ofte møder kritik for at have en for lang og kompliceret privatlivspolitik. Hvis man skal leve op til de irske og europæiske krav, vil teksten blive længere og mere kompleks, og det er man ikke overbevist om vil hjælpe brugerne.

Læs også: Første afgørelse af sin slags: Twitters millionbøde vokser hos europæisk databeskyttelsesråd

Europas anden artikel 65-sag

Sagen med Whatsapp er den anden artikel 65-sag hidtil, hvor den første handlede om Twitters offentliggørelse af private tweets.

Afgørelsen i den sag kom sidste november, hvor Twitter fik en bøde på blot 450.000 euro – eller omkring 3,3 millioner danske kroner.

I sagen med Twitter var der også stor uenighed mellem de forskellige europæiske tilsynsmyndigheder, og dengang fortalte vicekommissær for det irske datatilsyn, Graham Doyle, at det var umuligt at nå til enighed, fordi tilsynsmyndighederne ikke kun var uenige med Irland, men også med hinanden.

Det er på trods af, at tilsynsmyndighederne har en fælles ambition om at harmonisere GDPR-praksis på tværs af Europa.

Læs mere om WhatsApp-afgørelsen, om de andre tilsynsmyndigheders indvendinger og om de yderligere sanktioner fra Irland i en artikel på Version2’s søstermedie ComplianceTech i morgen.

Artiklen er opdateret den 2/9 2021 klokken 12.54 med faktaboksen og oplysningen, at datatilsynet i Danmark ikke har gjort indsigelser mod Irlands udkast til en afgørelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere