WhatsApp utmanar EDPB – GDPR-frågan går till EU:s högsta domstol

Bakgrund

WhatsApp Ireland, som ägs av Meta, står inför en bot på 225 miljoner euro som Irlands dataskyddsmyndighet (DPC) utfärdade 2021. Boten grundar sig på anklagelser om att WhatsApp bröt mot GDPR genom att inte tydligt informera användare om hur deras data delas med moderbolaget Facebook.

Europeiska dataskyddsstyrelsen (EDPB) ingrep i ärendet och skärpte DPC:s ursprungliga beslut. Bötesbeloppet höjdes och WhatsApp ålades att åtgärda bristerna inom tre månader.

Vad har hänt hittills?

År 2022 försökte WhatsApp överklaga beslutet till EU:s tribunaldomstol (General Court). Domstolen avslog begäran med hänvisning till att EDPB:s beslut inte riktade sig direkt till WhatsApp utan till den irländska myndigheten, som ansvarar för verkställandet. Slutsatsen blev att WhatsApp först borde ha överklagat i Irland.

Vad händer nu?

Nu tar WhatsApp ärendet vidare till EU-domstolen (CJEU). Företaget hävdar att EDPB:s ingripande har haft en direkt inverkan på verksamheten och att frågan inte enbart rör böterna. Kärnan i processen gäller maktfördelningen mellan EU:s dataskyddsmyndigheter och nationella tillsynsmyndigheter – en fråga som kan få långtgående konsekvenser för framtida tolkningar av GDPR.

Meta, som äger WhatsApp, har under senare år fått flera höga böter för GDPR-överträdelser, däribland en rekordbot på 1,2 miljarder euro i maj 2024. EU-domstolens kommande beslut, väntat nästa år, kan bli avgörande för hur liknande fall ska hanteras framöver och få stor betydelse för både företag och tillsynsmyndigheter inom dataskydd.