Besked-servicen WhatsApp har fået en umiddelbart massiv bøde på 225 millioner euro af det irske datatilsyn. Dette kan hurtigt ligne en stor sejr for EU’s GDPR, men er det nu også lige det? Og hvad kan vi lære af denne sag? Det kigger vi på i dette blogpost.
Hvad rager det dig?
Men vent – er den her slags bøder til kæmpestore virksomheder relevant for dig som IT-ansvarlig i en dansk virksomhed?
Ja!
Det vil jeg påstå, at den er, da den viser, at man rent faktisk kan få store bøder, hvis man ikke tager GDPR seriøst. Hvad der sker i disse store sager kan også skabe præcedens for, hvordan mindre virksomheders overtrædelser af GDPR bliver håndteret.
Og derudover, så er det bare en spændende sag!
En lang og kompliceret historie – kort fortalt
Sagens kerne er selvfølgelig, hvad WhatsApp har gjort, som bryder GDPR. Det irske datatilsyn har anklaget WhatsApp for ikke at være transparente i deres kommunikation om, hvordan og til hvad de bruger deres brugeres data. Dette gælder endda også folk der ikke selv bruger app’en, da WhatsApp også indsamler de kontaktinformationer, som deres brugere har på deres telefoner.
Brud på første princip i GDPR
Anklagen er altså helt kort, at de har brudt med det GDPR transparens-princip, der er i artikel 5 nævner:
“[…]processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);”
Her beskrives, at data skal behandles lovligt, fair og transparent, hvilket er en af de 7 GDPR-principper. Princippets ord står i stærk kontrast til de ord det irske datatilsyn bruger i deres rapport om WhatsApps behandling af brugere og ikke-brugeres data.
Deres behandling af persondata beskrives nemlig som “unødvendigt tvetydigt” og “dårligt defineret”. Derudover beskrives det som en “unødvendig frustrerende øvelse” at læse og undersøge WhatsApps privatlivspolitik.
Denne manglende transparens kom også i spil, når brugere skulle give samtykke. Her gav brugere samtykke til databehandling af “Facebook Companies” – Men hvilke virksomheder hentyder det lige til?
Selve dommen – og hvordan den blev 4-doblet!
Det irske datatilsyn begyndte at undersøge WhatsApp’s databehandling i december 2018 og i 2020 resulterede det i, at de kom med deres første udkast til en anklage. Som man ifølge GDPR skal, gav det irske datatilsyn deres udkast til gennemgang ved de andre europæiske landes datatilsyn. Her var der stor enighed om, at anklagen var alt for blid.
Dette resulterede i, at det Europæiske Databeskyttelsesråd (EDPB) gav det irske datatilsyn besked på, at bøden skulle hæves til 225 millioner euro. Oveni dette skulle der gives instruktioner til WhatsApp om tiltag, som skulle implementeres indenfor 3 måneder. Normalt ville en virksomhed få 6 måneder til at implementere disse, men pga. Sagens alvor anbefalede EDPB at halvere denne tidsfrist.
Det irske datatilsyn – GDPRs flaskehals i kampen mod BigTech
Irlands Datatilsyn var uenig med dets europæiske kollegaer om, hvor stor bøden til WhatsApp skulle være – og det er ikke første gang. Det samme skete med en lignende sag om Twitter, hvor det irske datatilsyn igen foreslog en alt for lav bøde, som herefter blev forhøjet efter de andre europæiske datatilsyns input.
Hvorfor skal lille Irland håndtere giganten WhatsApp?
Men hvordan kan det være, at alle de her Tech-giganter skal håndteres af Irlands datatilsyn? Det sker simpelthen fordi, at flere af de store amerikanske tech-giganter har deres europæiske hovedsæder i Irland. Brud på GDPR-regler skal behandles af det land, hvori virksomheden har hovedsæde. Hvorfor placerer de sig alle i Irland? Det hører nok nærmere til i en Børsen-artikel.
Irlands datatilsyn står altså overfor nogen af verdens største virksomheder med begrænsede ressourcer. Det har resulteret i meget kritik, da meget få af de anmeldte virksomheder bliver undersøgt. Ligeledes er der ikke meget tillid til, at det irske datatilsyn vil få denne store bøde indkrævet fra WhatsApp.
Max Schrems er heller ikke tilfreds
Max Schrems, som vi kender fra Schrems II-sagen siger dette om det irske datatilsyns håndtering af denne sag:
“WhatsApp will surely appeal the decision. In the Irish court system this means that years will pass before any fine is actually paid. In our cases we often had the feeling that the DPC (Det irske datatilsyn) is more concerned with headlines than with actually doing the hard groundwork.”
Derudover pointerer Schrems også, at selvom 225 millioner euro måske lyder af meget, svarer det slet ikke til 4% af Facebook Groups årlige indtjening, som GDPR egentligt muliggør at indkræve. Det svarer nærmere til 0,08%.
WhatsApp vil appellere
WhatsApps reaktion har været helt klar – de vil appellere. De er hverken enige i vurderingen af deres databehandling eller bødens størrelse. Ifølge dem selv arbejder de meget med transparens, når det kommer til databehandling. Herunder kan du se deres fulde udtalelse:
“WhatsApp is committed to providing a secure and private service. We have worked to ensure the information we provide is transparent and comprehensive and will continue to do so. We disagree with the decision today regarding the transparency we provided to people in 2018 and the penalties are entirely disproportionate. We will appeal this decision.”
Vi må altså vente og se, hvordan appellen går, og hvad sagen ender med.
Er der sammenlignelige sager mod andre giganter?
Den eneste bøde, som kan sammenlignes i størrelse fik Amazon tidligere i 2021, hvor de blev bedt om at betale hele 746 millioner euro. De valgte dog også at appellere, og den sag er stadig under behandling, så vi bliver nødt til at være tålmodige. Tiden må vise, hvordan denne type sager ender.
Hvad kan vi lære af den her sag?
Den her sag handler om tech-giganter, så kan vi overhovedet lære noget af den? Ja, det vil jeg mene. Vi kan se, at GDPR endelig bliver håndhævet. Vi ser dog også, at den måde GDPR er struktureret på gør, at det irske datatilsyn bliver en flaskehals ift. at anklage Tech-giganterne.
Helt praktisk kan vi også se, at transparens overfor vores brugere er helt central, når det kommer til at imødekomme GDPR’s krav. Her skal vi sørge for, at det er en let og overskuelig opgave at undersøge virksomheders persondatahåndtering f.eks. ved at have en klar privatlivspolitik.
Disse store sager kan potentielt danne præcedens og sætte rammerne for, hvordan vi alle skal arbejde med GDPR.
Jeg håber, at du fik noget ud af det her blogpost – og at det var spændende læsning! Hvis du har spørgsmål til IT-sikkerhed, GDPR eller noget andet derimellem, så er du altid velkommen til at række ud.
