EDPB verzoekt de Ierse toezichthoudende autoriteit om wijziging van haar besluit ten aanzien van WhatsApp wat betreft verduidelijkingen inzake transparantie en de berekening van de wegens meerdere inbreuken opgelegde geldboete

2 September 2021

Brussel, 2 september – Op 28 juli heeft het Europees Comité voor gegevensbescherming (hierna: “EDPB” of “het Comité”) een geschillenbeslechtingsbesluit op grond van artikel 65 AVG vastgesteld. Dit bindende besluit heeft tot doel een geschil te beslechten dat is ontstaan naar aanleiding van een ontwerpbesluit van de als leidende toezichthoudende autoriteit optredende Ierse toezichthoudende autoriteit ten aanzien van WhatsApp Ireland Ltd. (hierna “WhatsApp IE”) en de bezwaren die daartegen zijn geuit door een aantal betrokken toezichthoudende autoriteiten. Overeenkomstig de AVG is het bindende besluit van het EDPB nu gepubliceerd na de kennisgeving van het definitieve besluit van de Ierse toezichthoudende autoriteit aan het bedrijf.

Na zijn beoordeling van de zaak was het Comité van mening dat de Ierse toezichthoudende autoriteit haar ontwerpbesluit diende te wijzigen voor wat betreft niet-nakoming van de transparantieverplichtingen, de berekening van de geldboete en de termijn voor de naleving.

Wat transparantie betreft, werd in het ontwerpbesluit van de Ierse toezichthoudende autoriteit reeds een ernstige inbreuk op de artikelen 12, 13 en 14 AVG vastgesteld. Het Comité heeft bijkomende tekortkomingen vastgesteld met betrekking tot de verstrekte informatie, die afbreuk doen aan het vermogen van gebruikers om inzicht te krijgen in de behartigde gerechtvaardigde belangen.  Het Comité heeft de Ierse toezichthoudende autoriteit derhalve verzocht om in haar besluit vast te stellen dat WhatsApp IE inbreuk heeft gemaakt op artikel 13, lid 1, onder d), AVG.

Daarnaast heeft het Comité verduidelijkt dat weliswaar niet elke inbreuk op de artikelen 12 tot en met 14 AVG noodzakelijkerwijs een inbreuk op artikel 5, lid 1, onder a), AVG inhoudt, maar dat er in dit specifieke geval, in het licht van de ernst en het stelselmatige karakter en effect van de inbreuken, sprake is van een inbreuk op het transparantiebeginsel van artikel 5, lid 1, onder a), AVG.

Met betrekking tot de gegevens van niet-gebruikers die door WhatsApp IE worden verzameld wanneer gebruikers besluiten de contactfunctie (“Contact Feature”) te gebruiken, heeft het Comité vastgesteld dat de door WhatsApp IE toegepaste procedure in dit geval niet leidt tot anonimisering van de verzamelde persoonsgegevens.

Wat de opgelegde boete en de berekening van de boete betreft, heeft het Comité bepaald dat de omzet van een onderneming niet alleen relevant is voor de bepaling van het maximale boetebedrag overeenkomstig artikel 83, leden 4 tot en met 6), AVG, maar zo nodig ook in aanmerking kan worden genomen voor de berekening van de geldboete zelf, om ervoor te zorgen dat de boete doeltreffend, evenredig en afschrikkend is als bedoeld in artikel 83, lid 1, AVG. In deze zaak heeft het Comité vastgesteld dat de geconsolideerde omzet van de moedermaatschappij (Facebook Inc.) ten grondslag moet worden gelegd aan de omzetberekening.

Daarnaast heeft het Comité voor het eerst een verduidelijking gegeven van de uitlegging van artikel 83, lid 3, AVG. Wanneer bij dezelfde of onderling samenhangende verwerkingsactiviteiten meerdere inbreuken worden begaan, moeten alle inbreuken in aanmerking worden genomen bij de berekening van het bedrag van de geldboete. Dit doet geen afbreuk aan de verplichting van de toezichthoudende autoriteiten om rekening te houden met de evenredigheid van de geldboete en het in de AVG vastgestelde maximale boetebedrag in acht te nemen.

Voorts werd WhatsApp IE bij het ontwerpbesluit van de Ierse toezichthoudende autoriteit gelast de verwerkingsactiviteiten binnen een termijn van zes maanden in overeenstemming te brengen met de toepasselijke wetgeving. Het Comité achtte het van het hoogste belang dat de naleving van de transparantieverplichtingen binnen zo kort mogelijke termijn wordt gewaarborgd. Dienovereenkomstig werd de Ierse toezichthoudende autoriteit verzocht de termijn van zes maanden voor de naleving te wijzigen in een periode van drie maanden.

Dit bindende besluit was gericht tot de betrokken toezichthoudende autoriteiten en de Ierse toezichthoudende autoriteit heeft haar nationale besluit in haar hoedanigheid van leidende toezichthoudende autoriteit vastgesteld op basis van het besluit van het Comité. WhatsApp IE is in kennis gesteld van het nationale besluit, waaraan het besluit van het Comité als bijlage is gehecht.

Dit besluit laat eventuele beoordelingen van het Comité in andere zaken, ook indien daarbij dezelfde partijen betrokken zijn, onverlet.

Meer informatie over de procedure van artikel 65 AVG vindt u in de veelgestelde vragen.