Monsterboete tegen Whatsapp voor inbreuken op de AVG

Op 20 augustus 2021 heeft de Ierse toezichthoudende autoriteit (de “Data Protection Commission”) aan Whatsapp een administratieve boete opgelegd van 225 miljoen EUR omwille van verschillende inbreuken op de AVG, waaronder de informatieplicht ten aanzien van de betrokken personen.

Bindende beslissing Europees Comité voor gegevensbescherming

Gelet op de grensoverschrijdende problematiek ging er aan het opleggen van de boete een procedure vooraf waarbij de toezichthoudende autoriteiten van andere betrokken landen (waaronder Frankrijk, Nederland en Duitsland) ook hun visie mochten geven op het ontwerp van beslissing van de Ierse autoriteit. Gelet op onenigheden over de te nemen beslissing, heeft het Europees Comité voor gegevensbescherming een bindende beslissing uitgevaardigd.

In overeenstemming met die beslissing diende de Ierse autoriteit in de eindbeslissing te besluiten tot een schending van de AVG (in plaats van zich bijvoorbeeld te beperken tot een aanbeveling), zulks bijvoorbeeld van de informatieplicht ten aanzien van betrokkenen alsook van het principe van transparantie van de gegevensverwerkingen.

In de bindende beslissing van het Comité werd ook de tijd die Whatsapp kreeg om zich in orde te stellen ingekort van zes naar drie maanden gelet op de ernst van de inbreuken die een snelle correctie vereisen.

De bepaling van de boete

Qua administratieve boete had de Ierse autoriteit een cijfer tussen 30 en 50 miljoen EUR in gedachten.

Het Comité stelde dat bedrag niet doeltreffend, evenredig en afschrikkend genoeg was.

Er werd gesteld dat ook de omzet van moedervennootschap Facebook in deze overwogen dient te worden om die werking te bereiken. De Ierse toezichthoudende autoriteit bekeek Facebook Inc. en Whatsapp blijkbaar op zich wel al als één onderneming in het project van de beslissing.

Vervolg na de boete

Whatsapp heeft beroep aangetekend tegen de beslissing.

van Anne Custers , Fanny Coton