WhatsApp heeft een boete van EUR 225 miljoen gekregen van de Ierse Data Protection Commission voor schendingen van de Algemene Verordening Gegevensbescherming van de EU. Dit volgt op een onderzoek dat in december 2018 is gestart naar de vraag of WhatsApp duidelijk heeft gemaakt hoe het persoonlijke gegevens verzamelt en gebruikt, inclusief hoe het gegevens deelt met andere Facebook-bedrijven.
De afronding van het onderzoek van de DPC werd opgehouden door een meningsverschil met andere privacywaakhonden in de EU. Hoewel Ierland de leidende regelgevende autoriteit is voor alle activiteiten van WhatsApp in de EU, kunnen andere nationale regelgevende instanties invloed uitoefenen op haar beslissingen. In dit geval riepen verschillende instanties op tot strengere maatregelen tegen WhatsApp in vergelijking met wat de Ierse regelgevende instantie voorstelde in een ontwerpbesluit van december 2020.
De European Data Protection Board (EDPB), die de nationale gegevensbeschermingsautoriteiten in de EU verenigt, vertelde de DPC in juli om de voorgestelde boete van EUR 30-50 miljoen opnieuw te beoordelen en te verhogen. De EDPB zei dat er meerdere inbreuken waren waarmee rekening moest worden gehouden bij het vaststellen van de boete, zelfs als deze betrekking hadden op dezelfde of gekoppelde gegevensprocessen. De hoogte van de boete zou ook gebaseerd moeten zijn op de omzet van het moederbedrijf Facebook, niet alleen op de inkomsten van WhatsApp, aldus het bestuur.
Verder riep het EU-bestuur op tot een kortere termijn voor WhatsApp om zijn praktijken in overeenstemming te brengen met de AVG en zijn beleid transparanter te maken. Als gevolg hiervan heeft het bedrijf drie maanden de tijd om corrigerende maatregelen te nemen, in plaats van de zes die door de Ierse toezichthouder zijn voorgesteld.
Naast een gebrek aan transparantie voor de eigen gebruikers over hoe zij met hun persoonsgegevens omgaat, bleek WhatsApp ook rechten van niet-gebruikers te schenden. Dit is het resultaat van de functie Contacten, die de contactenlijst van een gebruiker op de telefoon controleert om contacten in de app voor te stellen. Uit het onderzoek bleek dat de door WhatsApp verzamelde contactgegevens niet geanonimiseerd waren.
Dit jaar heeft WhatsApp zijn privacybeleid geüpdatet, waardoor nieuwe zorgen zijn ontstaan over het toegenomen delen van informatie met Facebook. In juli riep de EDPB opnieuw op tot een dringend onderzoek door de Ierse DPC om te beoordelen of de laatste wijzigingen van WhatsApp in overeenstemming waren met de AVG. In juni oordeelde het EU-Hof van Justitie ook dat andere nationale regelgevers Facebook kunnen aanklagen voor vermeende privacyschendingen.
