De commissaris voor gegevensbescherming en vrijheid van informatie van Hamburg (HmbBfDI) heeft een bevel uitgevaardigd dat Facebook verbiedt persoonsgegevens van WhatsApp te verwerken voor eigen doeleinden. Dit gebeurt in het kader van de spoedprocedure van artikel 66 van de AVG, waardoor een toezichthouder zonder Europese afstemming kan optreden om in buitengewone omstandigheden de rechten en vrijheden van betrokkenen te beschermen. De aanleiding van het procedure is het verzoek aan alle WhatsApp-gebruikers om voor 15 mei in te stemmen met de nieuwe gebruiks- en privacyvoorwaarden. Dit betekent dat WhatsApp uitgebreide bevoegdheden kan krijgen om gegevens over te dragen aan Facebook.
Met de nieuwe voorwaarden worden de bevoegdheden inzake gegevensverwerking formeel vernieuwd en in de toekomst inhoudelijk uitgebreid. Het gaat onder meer om de evaluatie van locatiegegevens, de doorgifte van communicatiegegevens van gebruikers van bedrijven op WhatsApp aan derde bedrijven expliciet onder verwijzing naar Facebook. Het bijkomende doel daarvan is om de integriteit van de diensten te waarborgen en de bedrijfsoverstijgende verificatie van het account om de dienst op een "redelijke manier" te kunnen gebruiken.
Het maakt ook het gebruik van gegevens mogelijk om verbinding te maken met producten van Facebook-bedrijven. Een gerechtvaardigd belang voor de gegevensverwerking of voor de uitwisseling van de gegevens zal in de toekomst ook in algemene bewoordingen worden aangevoerd met betrekking tot minderjarige gebruikers. Bovendien zal de eerder bestaande mededeling dat WhatsApp-berichten niet worden gedeeld op Facebook zodat anderen ze kunnen zien, komen te vervallen.
Na evaluatie van de huidige stand van zaken en na Facebook te hebben gehoord, komt de toezichthouder tot de conclusie dat er geen toereikende rechtsgrondslag is voor verwerking door Facebook voor haar eigen doeleinden. De bepalingen inzake gegevensoverdracht staan verspreid over verschillende niveaus van het privacybeleid, zijn onduidelijk en moeilijk te onderscheiden in hun Europese en internationale versies. Bovendien zijn zij inhoudelijk misleidend en bevatten zij aanzienlijke tegenstrijdigheden, aldus de HmbBfDI. Zelfs na grondige analyse is het niet duidelijk welke gevolgen toestemming heeft voor de gebruikers. Bovendien wordt de toestemming niet vrijelijk gegeven, aangezien WhatsApp instemming met de nieuwe bepalingen eist als voorwaarde voor het verdere gebruik van de functionaliteiten van de dienst.
Uit het onderzoek van de nieuwe regelgeving is gebleken dat de nauwe band tussen de twee bedrijven verder wordt uitgebreid, zodat Facebook de gegevens van WhatsApp-gebruikers te allen tijde voor eigen doeleinden kan gebruiken. Voor productverbetering en reclame behoudt WhatsApp zich het recht voor gegevens door te geven aan Facebook-bedrijven zonder verdere toestemming van de betrokkenen te verlangen.
Gezien de beperkte tijdsduur van het bevel in de urgentieprocedure (drie maanden), zal de HmbBfDI een verwijzing aanvragen bij het Europees Comité voor gegevensbescherming (EDPB) om tot een besluit op Europees niveau te komen.
Lees de volledige verklaring van de Hamburgse toezichthouder hier (Duits)
