De Ierse gegevensbeschermingsautoriteit heeft WhatsApp Ireland Ltd. beboet omdat zij gebruikers geen transparante informatie hebben verstrekt over hoe hun gegevens worden verwerkt en gedeeld, met name met verwante bedrijven binnen de Meta Platforms Inc.-familie. De boete, opgelegd onder de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, weerspiegelt tekortkomingen in de openbaarmakingen aan gebruikers wanneer zij zich aanmelden voor de berichtendienst.
De boete werd opgelegd door de Ierse Commissie voor Gegevensbescherming, die optreedt als hoofdregulator voor Meta’s diensten in de EU. De autoriteit zei dat WhatsApp’s privacyverklaringen niet duidelijk uitlegden hoe gebruikersgegevens worden verwerkt, opgeslagen en gedeeld met andere bedrijven binnen de Meta-groep, ook voor operationele en marketingdoeleinden. Toezichthouders stelden vast dat de informatie die aan gebruikers werd verstrekt gefragmenteerd en moeilijk te begrijpen was.
Volgens de AVG moeten bedrijven duidelijk en beknopt aan gebruikers uitleggen welke persoonlijke gegevens ze verzamelen en hoe deze worden gebruikt. De toezichthouder zei dat WhatsApp’s openbaarmakingen niet aan deze standaard voldeden omdat ze te complex waren en gebruikers niet in staat stelden de omvang van de datastromen naar gerelateerde diensten volledig te begrijpen. De Ierse autoriteit zei dat dit gebrek aan duidelijkheid het vermogen van gebruikers om weloverwogen beslissingen over hun privacy te nemen ondermijnde.
WhatsApp Ireland Ltd. werd opgedragen een boete te betalen die werd berekend op basis van de ernst van de overtreding en het aantal getroffen gebruikers in de EU. Het bedrag weerspiegelt zowel het bereik van WhatsApp-diensten als de noodzaak om consistente gegevensbeschermingsnormen in de lidstaten te handhaven. De toezichthouder zei dat ze meer details zou publiceren over de boete en de aspecten van WhatsApp’s openbaarmakingen die niet in overeenstemming zijn gebleken.
WhatsApp zei het niet eens te zijn met de conclusies van de toezichthouder en is van plan in beroep te gaan tegen de beslissing. Het bedrijf zei dat het ernaar streeft transparant te zijn naar gebruikers en dat het regelmatig zijn privacypraktijken beoordeelt. Het voegde eraan toe dat het wereldwijde privacybeleid al informatie bevat over gegevensverwerking en -delen binnen de Meta-groep, maar dat het via het beroepsproces met de autoriteiten zal samenwerken.
De beslissing van de Ierse Gegevensbeschermingscommissie volgt op andere handhavingsacties van de AVG tegen grote technologiebedrijven vanwege wat toezichthouders omschrijven als onvoldoende duidelijke privacyverklaringen. GDPR vereist dat gegevensbeheerders “transparante” informatie aanbieden in taal die toegankelijk is voor gewone gebruikers, en dat zij gegevens bijhouden die voldoen aan transparantieverplichtingen.
Privacyvoorstanders verwelkomden de actie van de toezichthouder en zeiden dat duidelijkheid over gegevensdeling fundamenteel is voor gebruikerscontrole over persoonlijke informatie. Zij merkten op dat berichtendiensten met grote gebruikersgroepen een grotere verplichting hebben om te communiceren hoe data tussen diensten stroomt, vooral wanneer dergelijke data kan worden gebruikt voor profilering of gepersonaliseerde functies.
De uitkomst kan invloed hebben op hoe andere technologiebedrijven hun privacycommunicatie in de EU afstemmen. Handhavingsmaatregelen van de AVG leiden vaak tot herzieningen van online privacymeldingen, omdat bedrijven hun openbaarmakingen willen afstemmen op de verwachtingen van toezichthouders en toekomstige sancties willen vermijden. Toezichthouders in andere lidstaten houden dergelijke beslissingen in de gaten om de geharmoniseerde toepassing van de wet in het hele blok te bevorderen.