Hoppa till innehåll på sidan
IMY-bloggen
Närbild händer möte

Beslutet mot WhatsApp och samarbetet i EDPB  

Publicerad: 5 oktober 2021
I somras fattade EDPB sitt andra bindande beslut någonsin, vilket låg till grund för den irländska dataskyddsmyndighetens beslut mot WhatsApp. Så här gick det till.

I somras antog Europeiska dataskyddsstyrelsen, EDPB (består av EU/EES-ländernas dataskyddsmyndigheter) sitt andra bindande beslut. Det gick nog flera förbi, inte bara för att många var upptagna med att njuta av högsommarvärmen, utan troligtvis också för att den här typen av beslut och det samarbete som föregår besluten inte får så stort fokus. Vad är egentligen ett bindande beslut och vad leder fram till detta? Hur är det intressant och betydelsefullt för andra än de beslutet rör? Nedan reder vi ut begreppen och riktar lite ljus mot en viktig del av samarbetet inom EU som hamnat lite i skymundan.

Som alla känner till är en av tankarna med dataskyddsförordningen, GDPR, att den ska tillämpas likadant inom hela EU/EES. För att kunna uppnå det krävs ett nära samarbete mellan dataskyddsmyndigheterna. En viktig komponent i det samarbetet är det vägledande arbete som bedrivs inom ramen för EDPB med att ta fram riktlinjer, yttranden etc. En annan viktig pusselbit som kanske syns mindre utåt är samarbetet i enskilda ärenden. Varje dag sker det nämligen ett mycket omfattande samarbete mellan dataskyddsmyndigheterna med att handlägga ärenden som har koppling till flera medlemsstater. Koppling till flera medlemsstater har ett ärende – lite förenklat – om den behandling som granskas utförs av en organisation som har kontor på flera platser inom EU/EES eller om organisationen vänder sig till personer i flera medlemsstater.

Samtliga dataskyddsmyndigheter i de länder som organisationen är aktiv i är involverade i granskningen. Det kan innebära att vi ibland är uppemot 30 stycken dataskyddsmyndigheter (27 EU-medlemsstater plus tre EES-länder) som samarbetar och gemensamt stöter och blöter oss fram till ett beslut. Det kan låta som många kockar, men det fyller en viktig funktion i att uppnå en enad praxis och tolkning av GDPR. Rent praktiskt är arbetet och ansvaret dessutom fördelat så att inte alla gör allt, vilket givetvis hade varit mycket ineffektivt.

Dataskyddsmyndigheten i det land där organisationen har sitt huvudkontor (den s.k. ansvariga tillsynsmyndigheten) ansvarar för granskningen och drar det tyngsta lasset i utredningen. Den ansvariga tillsynsmyndigheten håller även i pennan, sköter kontakten med organisationen och tar fram utkast till beslut. Övriga dataskyddsmyndigheter stöttar, kommer med inspel och glada (och mindre glada) tillrop. De har även en viktig roll i att granska de utkast till beslut som den ansvariga tillsynsmyndigheten tar fram. Det blir som en extra kvalitetssäkring – är de övriga dataskyddsmyndigheterna inte nöjda med innehållet och de tolkningar som görs kan de motsätta sig ett antagande genom att invända mot utkastet.

I den stora majoriteten av ärenden håller vi med varandra. Om IMY och övriga dataskyddsmyndigheter däremot inte kan enas kring innehållet i ett beslut – vilket endast hänt två gånger hittills – måste dock ärendet tas till EDPB innan det kan avgöras.

Det var det som hände i somras, blott andra gången alltså sedan GDPR började tillämpas. Ärendet rörde en granskning av WhatsApps informationsskyldighet och flera dataskyddsmyndigheter höll inte med om det förslag till utkast som den irländska dataskyddsmyndigheten tagit fram i egenskap av ansvarig tillsynsmyndighet (WhatsApp har sitt huvudkontor på Irland). Bland annat ansågs att fler överträdelser hade framkommit i utredningen än de som den irländska dataskyddsmyndigheten föreslagit, samt att sanktionsavgiften borde satts till ett högre belopp.

EDPB:s roll kan i det här avseendet jämföras med en domstol; i de frågor det råder oenighet sätter EDPB i sitt bindande beslut ner foten och klargör vilken tolkning – den ansvariga tillsynsmyndighetens eller övriga tillsynsmyndigheters – som är den mest korrekta. Frågorna diskuteras ingående och efter några veckor antas ett noga övervägt beslut. I de fall frågorna är principiella och inte alltför knutna till de specifika omständigheterna kan ställningstagandena förväntas bli vägledande. Besluten förtjänar därför uppmärksamhet och det kan vara klokt att hålla lite extra utkik efter dessa i nyhetsflödena. I WhatsApp-ärendet tog EDPB bland annat ställning till vilken typ av information som måste lämnas enligt art. 13.1 d, om en överträdelse av informationsskyldigheterna i art. 12-14 per automatik innebär en överträdelse av öppenhetsprincipen i art. 5.1 a, hur sanktionsavgiften ska beräknas vid flera överträdelser samt vad som krävs för att uppgifter ska kunna anses vara anonymiserade.

När EDPB fattat sitt beslut återstår för den ansvariga tillsynsmyndigheten att anta ett beslut på grundval av det beslut som fattats av EDPB. I och med att det samarbete som sker innan antagandet normalt sett inte uppmärksammas så mycket kan det då utåt se ut som att en ensam tillsynsmyndighet avgjort ärendet, men bakom kulisserna står det alltså ytterligare 29 dataskyddsmyndigheter – däribland IMY – som varit högst involverade.

Om många missade EDPB:s bindande beslut i somras var det kanske fler som uppmärksammade den irländska dataskyddsmyndighetens beslut mot WhatsApp i början av september. I det utfärdades nämligen den näst högsta sanktionsavgiften enligt GDPR hittills. Att avgiften blev så hög som den blev var dock inget som irländska dataskyddsmyndigheten på egen hand kommit fram till – tvärtom så var det en instruktion från övriga dataskyddsmyndigheter genom EDPB:s bindande beslut.

Här kan du ta del av EDPB:s bindande beslut: Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR 
Här kan du ta del av den irländska dataskyddsmyndighetens beslut mot WhatsApp: Decision in the matter of WhatsApp Ireland Limited made pursuant to Section 111 of the Data Protection Act 

Josefine Paulie
Internationell jurist, IMY

 

Senast uppdaterad: 4 januari 2022
Sidans etiketter Dataskydd
Senast uppdaterad: 4 januari 2022
Sidans etiketter Dataskydd