WhatsApp riskerar böter på 5,5 miljoner euro, eftersom DPC begränsar omfattningen av ärendet mot WhatsApp och avvisar EDPB:s begäran om att undersöka frågor som datadelning inom Meta.
Som bekräftats av den irländska DPC idag har Europeiska dataskyddsstyrelsen (EDPB) beslutat att Meta inte kan tvinga WhatsApp-användare att samtycka till användningen av deras data för "serviceförbättringar" och "säkerhet". Kärnfrågan om dataanvändning för "syftet med beteendemässig reklam, för marknadsföringsändamål, samt för tillhandahållande av mätvärden till tredje part och utbyte av data med anslutna företag " behandlades inte av den irländska dataskyddsmyndigheten - trots ett bindande beslut från EDPB om att dessa frågor måste utredas. Beslutet kommer 4,5 år efter att de ursprungliga klagomålen lämnades in av noyb, om Metas förbikoppling av GDPR via en klausul i villkoren.
- Förklaringsvideo om Metas förbikoppling (från december 2022)
- Blogginlägg om beslut på Facebook och Instagram
- Original klagomål av noyb från 2018
- Slutligt beslut av DPC (PDF)
- Beslut av Europeiska dataskyddsstyrelsen (PDF)
Viktiga fakta:
- Den 25 maj 2018 lämnade noyb in tre klagomål mot Facebook, Instagram och WhatsApp på grundval av påtvingat samtycke.
- Två klagomål mot Facebook och Instragram för en österrikisk och en belgisk användares räkning avgjordes under den första veckan i januari och ledde till ett sammanlagt bötesbelopp på 390 miljoner euro.
- Det tredje beslutet om WhatsApp på uppdrag av en tysk användare publicerades idag.
- Meta försökte "kringgå" samtyckeskravet i GDPR genom att lägga till en klausul i villkoren för annonsering.
- I december 2022 upphävde EDPB ett tidigare utkast till beslut från den irländska DPC som ansåg att Metas kringgående av GDPR var lagligt och EDPB begärde ändringar i beslutet om WhatsApp, samt ytterligare undersökningar av de grundläggande överträdelserna av WhatsApp.
- DPC har nu anpassat sitt begränsade beslut, men vägrar att undersöka andra frågor, enligt EDPB: s order. DPC hotar att väcka talan mot sina europeiska partners.
- Beslutet kräver sannolikt att WhatsApp implementerar en "opt-in" för användning av personuppgifter för "produktförbättring", medan användningen av personuppgifter för säkerhet till stor del kan flyttas till en annan rättslig grund.
Meta ville "kringgå" GDPR. GDPR tillåter sex rättsliga grunder för att behandla uppgifter, varav en är samtycke enligt artikel 6.1 a. Meta försökte kringgå samtyckeskravet för spårning och onlineannonsering genom att hävda att annonser är en del av den "tjänst" som den avtalsenligt är skyldig användarna. Det påstådda bytet av rättslig grund skedde exakt den 25 maj 2018 vid midnatt när GDPR trädde i kraft. Så kallad "avtalsenlig nödvändighet" enligt artikel 6.1 b förstås vanligtvis snävt och skulle t.ex. tillåta en onlinebutik att vidarebefordra adressen till en posttjänst, eftersom detta är absolut nödvändigt för att leverera en beställning. Meta ansåg dock att man kunde lägga till slumpmässiga element i avtalet (t.ex. personlig reklam) för att undvika ett ja/nej-alternativ för användarna.
DPC begränsar fallet till "säkerhet" och "förbättring av tjänster". Datainspektionen har nu begränsat det 4,5 år långa förfarandet till de mindre frågorna om den rättsliga grunden för att använda uppgifter för säkerhetsändamål och för att förbättra tjänsterna. DPC ignorerar därmed de stora frågorna om att dela WhatsApp-data med Metas andra företag (Facebook och Instagram) för reklam och andra ändamål. Medan användare bör bli ombedda att använda sina uppgifter för att förbättra produkter via en opt-in, verkar det tydligt att användningen av data för säkerhet förblir laglig enligt GDPR, även om detta inte ingår i ett kontrakt längre.
Max Schrems:"Vi är förvånade över hur DPC helt enkelt ignorerar kärnan i ärendet efter ett 4,5 år långt förfarande. DPC ignorerar också tydligt det bindande beslutet från EDPB. Det verkar som om DPC slutligen klipper av alla band med EU:s partnermyndigheter och med kraven i EU:s och Irlands lagstiftning."
WhatsApps "metadata" används vidare för personaliserade annonser? Även om WhatsApp inte tillhandahåller personaliserade annonser, tillhandahåller det så kallade "metadata" till Facebook och Instagram, som i sin tur används för personaliserad reklam på de två sociala medieplattformarna. Dessa metadata avslöjar massor av information om användarnas kommunikationsbeteende: vem som kommunicerar med vem och när, vem som använder appen när, hur länge och hur ofta. Medan själva kommunikationen är krypterad, samlas personernas telefonnummer och tillhörande Facebook- eller Instagramkonton in. Sådan information kan sedan användas för att anpassa annonser för användare på andra metaplattformar som Facebook och Instagram. DPC verkar ha vägrat att undersöka denna kärnfråga i klagomålen.
Max Schrems: "WhatsApp säger att det är krypterat, men det är bara sant för innehållet i chattar - inte metadata. WhatsApp vet fortfarande vem du chattar med mest och vid vilken tidpunkt. Detta gör det möjligt för Meta att få en mycket nära förståelse för den sociala strukturen runt dig. Meta använder denna information för att till exempel rikta in annonser som vänner redan var intresserade av. Det verkar som om DPC nu helt enkelt har vägrat att besluta i denna fråga, trots 4,5 års utredningar."
DPC och Meta samarbetade och blev överkörda av EDPB. Under förfarandets gång har Meta förlitat sig på tio konfidentiella möten med den irländska DPC, där DPC har tillåtit Meta att använda denna "bypass". Det avslöjades senare att DPC till och med har försökt att påverka relevanta EDPB-riktlinjer i Metas intresse. Ändå avvisade de andra europeiska dataskyddsmyndigheterna DPC:s uppfattning internt 2018, i riktlinjer 2019 och återigen i det slutliga EDPB-beslutet i december 2022. Ärendet eskalerade till 4,5 år med hundratals sidor av rapporter och inlagor, trots att ärendet handlade om en ganska enkel juridisk fråga.
Max Schrems:"Det här ärendet handlar om en enkel juridisk fråga. Meta hävdar att 'förbifarten' skedde med DPC:s välsignelse. I åratal har DPC dragit ut på förfarandet och insisterat på att Meta kan kringgå GDPR, men nu överprövades av de andra EU-myndigheterna. Det är totalt sett fjärde gången i rad som den irländska DPC överprövades."
