WhatsApp krijgt hogere boete dan verwacht: 225 miljoen euro

15/09/’21 - WhatsApp wordt een boete van 225 miljoen euro opgelegd vanuit de Data Protection Commission (DPC), de Ierse privacytoezichthouder. De chatapp, waar vrijwel iedereen bekend mee is, voldoet niet aan de vereisten vanuit de Algemene Verordening Gegevensbescherming (AVG) omtrent transparantie en informatievoorziening. In eerste instantie wilde de DPC een aanzienlijk lagere boete aan WhatsApp opleggen maar acht andere Europese privacytoezichthouders maakten hier bezwaar tegen, waaronder de Nederlandse Autoriteit Persoonsgegevens: het bedrag moest namelijk worden verhoogd. Uiteindelijk werd de zaak voorgelegd aan de European Data Protection Board (EDPB). Al met al een lang traject dat in 2018 al van start is gegaan. In dit blog zal er verder ingegaan worden op dit traject en de redenen achter de boete.

Hoe verliep het traject van deze boete? 

Op grond van artikel 56 en 60 AVG is het mogelijk om als leidend toezichthouder, in dit geval de DPC, op te treden namens verschillende andere Europese toezichthouders. Hierbij wordt er namelijk gewerkt met het ‘one-stop shop’ mechanisme, dit betekent dat organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren, alléén te maken hebben met de toezichthouder van de lidstaat waar hun hoofdvestiging zit. Onlangs heeft het Europees Hof van Justitie een uitspraak gedaan waarin naar voren is gekomen dat in enkele gevallen een andere toezichthouder het onderzoek mag overnemen.

In deze WhatsApp-zaak is de Ierse DPC de leidend toezichthouder. Op 9 september 2019 heeft de DPC een finale versie van het onderzoeksrapport opgeleverd, waarna WhatsApp op de hoogte is gebracht van de besluitvormingsfase rondom de boete. WhatsApp heeft in 2020 opmerkingen ingediend, die in aanmerking zijn genomen bij het finaliseren van het definitieve ontwerpbesluit. Dit ontwerpbesluit is daarna aangeboden aan de andere Europese toezichthouders waarna acht toezichthouders hiertegen bezwaar hebben gemaakt, waaronder de Nederlandse toezichthouder. Zij vonden het onderzoek te beperkt omdat niet alle gegevensverwerkingen van WhatsApp onderwerp waren van het onderzoek van DPC. De toezichthouders kwamen er onderling niet uit en zijn daarom naar de EDPB gestapt. De EDPB nam op 28 juli jl. een bindend besluit (artikel 65 lid 1 sub a AVG). De EDPB gaf aan dat de DPC het boetebesluit opnieuw moest bekijken en de boete moest verhogen. De EDPB was van mening dat de DPC het boetebesluit moest wijzigen voor wat betreft de inbreuken op de transparantieverplichting van WhatsApp, de berekening van de geldboete en de termijn voor de naleving door WhatsApp. De DPC heeft de hoogte van de boete uiteindelijk vastgesteld op 225 miljoen euro.

Wat zijn de redenen achter deze boete? 

Volgens de DPC voldoet WhatsApp niet aan de vereisten uit de AVG. Hierbij gaat het voornamelijk om de vereisten omtrent transparantie en informatievoorziening, namelijk het informeren van gebruikers over de verwerking van hun persoonsgegevens en het uitwisselen van gegevens met andere Facebookbedrijven (WhatsApp is sinds 2014 eigendom van Facebook). Persoonsgegevens dienen verwerkt te worden op een rechtmatige, behoorlijke en transparante manier en daarnaast dient dataminimalisatie doorgevoerd te worden (artikel 5 AVG). WhatsApp geeft aan gegevens te delen met andere onderdelen van Facebook, zoals Instagram. Het is hierbij niet duidelijk in hoeverre gebruikers dit moeten accepteren voordat zij gebruik kunnen maken van de chatapp. Daarnaast heeft WhatsApp de gebruikers niet voldoende geïnformeerd over de gegevensverwerkingen. Er bestaan verschillende privacyverklaringen van WhatsApp maar de informatie is soms dermate ingewikkeld dat deze niet voldoen aan de informatieplicht. De tekortkomingen in de informatievoorziening richting de gebruikers heeft invloed op de mate waarin gebruikers de gerechtvaardigde belangen van WhatsApp begrijpen. Dit levert een overtreding van artikel 13 AVG op.

Een ander deel van de overtredingen in het boetebesluit heeft betrekking op personen die WhatsApp niet gebruiken. De telefoonnummers van deze personen worden namelijk wel verwerkt door WhatsApp doordat WhatsApp de telefoonnummers uit de contactenlijsten van gebruikers verwerkt en (weliswaar na hashing) opslaat.

Bezwaar van WhatsApp tegen hoogte van de boete 

Al met al voldoende overtredingen om WhatsApp een boete op te leggen. De boete mag maximaal 4% van de wereldwijde jaaromzet bedragen, wat in deze zaak niet het geval is. WhatsApp vindt de boete echter disproportioneel en geeft aan hiertegen bezwaar te gaan maken. WhatsApp stelt namelijk dat zij sinds 2018 veel moeite heeft gedaan om de privacyverklaringen leesbaarder en transparanter te maken. WhatsApp heeft vorig jaar al 77,5 miljoen euro apart gezet om de boete te kunnen betalen, maar gezien de hoogte van deze boete zal WhatsApp ook dit jaar nog wat extra geld opzij moeten zetten.

 

Quincy van Opzeeland Legal Consultant

Meer weten?

Wij zijn benieuwd hoe het bezwaar van WhatsApp uit zal pakken. Een interessante zaak om in de gaten te houden. Wilt u meer weten over deze boete of boetes en sancties op grond van de AVG in het algemeen? Neem dan contact met ons op.