De nationale regelgevende instanties voor gegevensbescherming van de EU hebben de Ierse privacytoezichthouder opgeroepen om dringend onderzoek te doen naar de recente wijzigingen in het privacybeleid van WhatsApp en de manier waarop het gegevens deelt met moederbedrijf Facebook, uit bezorgdheid dat de bedrijven de privacywetgeving hebben geschonden. De toezichthouders stopten met het ondernemen van actie tegen Facebook, omdat het nog te onduidelijk was hoe het bedrijf gegevens over WhatsApp-gebruikers gebruikte.
De EDPB, die nationale nationale privacyregelgevers in de hele EU verenigt, heeft de zaak onderzocht op verzoek van de Hamburgse toezichthoudende autoriteit. De laatste heeft Facebook al bevolen om te stoppen met het verwerken van WhatsApp-gebruikersgegevens voor eigen doeleinden, uit zorg dat dit in strijd zou zijn met de Algemene Verordening Gegevensbescherming van de EU. De Hamburgse autoriteit wendde zich vervolgens tot de Ierse commissaris voor gegevensbescherming om dit te onderzoeken, aangezien de Europese activiteiten van Facebook in Ierland zijn gevestigd en dus uiteindelijk onder Iers toezicht vallen.
De Hamburgse toezichthouder vond de inspanningen van de Ierse DPC onvoldoende en vroeg de EDPB om tussenbeide te komen. De laatste vond de Ierse toezichthouder niet tekortschieten en zei dat de wijziging in de voorwaarden van WhatsApp niet voldoende was om dringende actie te rechtvaardigen.
Volgens de EDPB is er een "hoge kans" dat Facebook WhatsApp-gebruikersgegevens voor eigen doeleinden gebruikt, zowel om de veiligheid te waarborgen als om producten te ontwikkelen. "In het licht van de verschillende tegenstrijdigheden, dubbelzinnigheden en onzekerheden die worden opgemerkt in de gebruikersinformatie van WhatsApp, enkele schriftelijke toezeggingen die zijn gedaan door Facebook IE en WhatsApp IE's schriftelijke opmerkingen, heeft de EDPB echter geconcludeerd dat het niet in staat is om met zekerheid te bepalen welke er daadwerkelijk verwerkingen plaatsvinden en in welke hoedanigheid", aldus het bestuur in een verklaring.
Desalniettemin zei de EDPB dat het een "grote kans op inbreuken" ziet en riep op tot "snel verder onderzoek". Het wil met name onderzoeken of Facebook WhatsApp-gebruikersgegevens kruist met gegevens van zijn andere diensten, gefaciliteerd door het gebruik van unieke identifiers.
De EDPB heeft de Ierse regelgever gevraagd om "met voorrang" een wettelijk onderzoek uit te voeren om te bepalen of dergelijke verwerkingsactiviteiten plaatsvinden of niet, en zo ja, of ze een juiste rechtsgrondslag hebben onder de AVG. Verder moet gekeken worden naar de rol van Facebook bij de verwerking van gegevens voor marketingdoeleinden, de samenwerking met de andere Facebook-bedrijven en de WhatsApp Business API. Ook Facebook en WhatsApp werden op de hoogte gebracht van het besluit.
