בית הדין לצדק של האיחוד האירופי (CJEU) קבע בפברואר 2026 כי החלטה מחייבת של ה-EDPB, המתקבלת במסגרת מנגנון יישוב המחלוקות שבסעיף 65 ל-GDPR, מהווה אקט של האיחוד האירופי הכפוף לביקורת שיפוטית ישירה בפני ערכאות האיחוד. בפסק הדין התקבל ערעורה של WhatsApp Ireland Ltd., בוטלה החלטת בית המשפט הכללי של האיחוד מדצמבר 2022 אשר דחתה את תביעת החברה, והתיק הוחזר אליו לצורך הכרעה לגופו של עניין.
הפרשה החלה בדצמבר 2018, אז פתחה רשות הגנת המידע האירית בחקירה כללית בנוגע לעמידת WhatsApp בחובות השקיפות והיידוע לפי ה-GDPR. בדצמבר 2020 הופצה טיוטת החלטה בין רשויות הפיקוח הלאומיות הרלוונטיות במסגרת מנגנון ה-one-stop-shop. משלא הושגה הסכמה בנוגע להיבטים מהותיים בטיוטה, הופעל מנגנון יישוב המחלוקות והסוגייה הועברה להכרעת ה-EDPB. בהחלטה מחייבת 1/2021 קבעה ה-EDPB, בין היתר, כי הופרו הוראות מסוימות של ה-GDPR והורתה לרשות האירית לתקן את אמצעי האכיפה שתוכננו, לרבות סכום הקנס. בעקבות זאת הטילה הרשות האירית על החברה קנס כולל של 225 מיליון אירו.
WhatsApp בחרה לתקוף את החלטת ה-EDPB עצמה והגישה לבית המשפט הכללי תובענה לביטול ההחלטה. בית המשפט דחה את התביעה בקובעו כי מדובר ב"החלטת ביניים" בהליך המנהלי, וכי ניתן להשיג רק על ההחלטה הסופית של הרשות האירית בפני ערכאה לאומית. בערעור לבית הדין לצדק נקבע כי גישה זו שגויה: החלטת ה-EDPB היא אקט שמקורו בגוף של האיחוד, שנועד לייצר השפעות משפטיות כלפי צדדים שלישיים, וקובע באופן סופי את עמדת המועצה ביחס לסוגיות שהובאו בפניה במסגרת מנגנון יישוב המחלוקות.
בית הדין הדגיש כי ההחלטה מחייבת את רשויות הפיקוח הלאומיות ואינה מותירה להן אפשרות לשנות את תוצאתה בנקודות שהוכרעו. בנסיבות המקרה נקבע כי ההחלטה הביאה לשינוי מובחן במצבה המשפטי של WhatsApp, ועל כן היא מהווה אקט בעל השפעה ישירה (direct concern) לחברה. משכך, התביעה הוכרזה כקבילה והדיון הוחזר לבית המשפט הכללי, אשר יידרש כעת לבחון לגופו האם אכן הופרו הוראות ה-GDPR כקביעת ה-EDPB.
ההכרעה מבהירה את מעמדן המשפטי של החלטות מחייבות של ה-EDPB במסגרת מנגנון האחידות של ה-GDPR, וקובעת כי במקרים שבהם החלטות אלה עומדות במבחני הסופיות וההשפעה המשפטית הישירה, ניתן להגיש נגדן הליך ביטול עצמאי בפני ערכאות האיחוד. מדובר בפסיקה בעלת משמעות מערכתית לאכיפה חוצת-גבולות בדיני הגנת המידע באירופה ולניהול סיכונים רגולטוריים על ידי תאגידים הפועלים בזירה האירופית.
