WhatsApp och EDPB i rättstvist om GDPR, böter och tillsynsansvar
WhatsApp Ireland, som ägs av Meta, står i centrum för en viktig rättsprocess om GDPR, dataskydd och maktfördelningen mellan europeiska och nationella tillsynsmyndigheter. Bakgrunden är den bot på 225 miljoner euro som den irländska dataskyddsmyndigheten DPC beslutade om 2021 efter att ha granskat hur WhatsApp informerade användare om delning av personuppgifter med andra bolag inom Meta-koncernen.
Ärendet fick extra tyngd när Europeiska dataskyddsstyrelsen, EDPB, gick in och antog ett bindande beslut som ledde till att DPC behövde ompröva och höja sin föreslagna sanktionsavgift. EDPB krävde också att de irländska myndigheterna skulle skärpa bedömningen av flera GDPR-överträdelser och säkerställa att WhatsApp rättade sig efter reglerna.
Därför fick WhatsApp böter enligt GDPR
Granskningen handlade om transparens, laglig grund och hur tydligt WhatsApp informerade sina användare om hur deras data användes och delades. Den irländska dataskyddsmyndigheten kom fram till att WhatsApp inte levde upp till kraven i GDPR och att användarna inte hade fått tillräcklig information om behandlingen av deras personuppgifter. Efter EDPB:s bindande beslut höjdes den slutliga bötesnivån till 225 miljoner euro.
WhatsApp försökte först få EDPB:s beslut ogiltigförklarat
WhatsApp försökte därefter angripa EDPB:s bindande beslut direkt i EU:s tribunal. I december 2022 avvisade tribunalen dock talan som otillåtlig. Domstolen ansåg då att EDPB:s beslut inte riktade sig direkt till WhatsApp, utan till den irländska dataskyddsmyndigheten, som sedan fattade det formella nationella beslutet mot bolaget. Därför ansågs WhatsApp i första hand behöva angripa beslutet nationellt.
EU-domstolen har nu gett WhatsApp rätt att få saken prövad
Utvecklingen tog dock en ny vändning i februari 2026. EU-domstolen slog då fast att WhatsApp faktiskt är direkt berört av EDPB:s bindande beslut och att bolagets talan därför ska kunna tas upp till prövning. Domstolen upphävde tribunalens tidigare avgörande och skickade tillbaka målet till tribunalen för en ny prövning i sak. Det betyder att WhatsApp nu får möjlighet att argumentera för att EDPB:s ingripande och tolkning av GDPR varit felaktiga.
Därför är fallet viktigt för framtiden för GDPR
Det här målet handlar inte bara om WhatsApps GDPR-bot. Det rör också en större principiell fråga om hur mycket makt EDPB har i förhållande till nationella dataskyddsmyndigheter som den irländska DPC. Utfallet kan därför få stor betydelse för framtida tvister om personuppgifter, gränsöverskridande tillsyn och hur GDPR ska tillämpas när flera myndigheter är inblandade.
För företag som verkar i flera EU-länder är detta särskilt viktigt. Målet kan påverka hur bindande beslut från EDPB kan angripas rättsligt och hur samspelet mellan europeiska och nationella dataskyddsmyndigheter ska förstås framöver.
WhatsApp-fallet visar hur central dataskyddsfrågan har blivit
Under de senaste åren har Meta fått flera stora GDPR-böter i Europa, och WhatsApp-fallet är ett av de mest uppmärksammade. Rättsprocessen visar hur central frågan om transparens, personuppgiftsbehandling och tillsyn enligt GDPR har blivit för stora digitala plattformar.
När tribunalen nu ska pröva målet i sak kan det bli vägledande för hur liknande ärenden hanteras i framtiden. För företag, tillsynsmyndigheter och branschorganisationer blir det därför ett viktigt mål att följa.
