İrlanda Veri Koruma Otoritesi (DPC) , WhatsApp'a GDPR ihlalleri nedeniyle 5,5 milyon Avro para cezası verdi. Veri Koruma Komisyonu ya da DPC, şirketin hizmetlerinin kullanıcılara sunulmasıyla ilgili olarak WhatsApp İrlanda'ya yönelik bir soruşturmayı sonuçlandırdı.
DPC ayrıca WhatsApp İrlanda'ya veri işleme faaliyetlerini altı aylık bir süre içerisinde uyumlu hale getirmesi talimatını verdi. DPC, soruşturmasına yaklaşık beş yıl önce Alman bir veri sahibi tarafından WhatsApp'ın rıza kullanımına ilişkin yapılan şikayetin ardından başladı. Söz konusu şikâyet GDPR kuralları yürürlüğe girmeden önce yapılmıştı. Ancak WhatsApp İrlanda bu dönemde Hizmet Koşlullarını güncellemiş ve GDPR'nin yürürlüğe girmesinin ardından WhatsApp hizmetine erişmeye devam etmek isteyen mevcut ve yeni kullanıcılardan güncellenmiş Hizmet Koşullarını kabul etmeleri istenmiştir. Kullanıcıların bunu reddetmesi halinde hizmetlere erişilemeyecekti.
WhatsApp İrlanda, güncellenmiş Hizmet Koşullarının kabul edilmesiyle birlikte WhatsApp İrlanda ile kullanıcı arasında bir sözleşme akdedildiğini değerlendirmiştir. Şikâyetçi, WhatsApp hizmetlerinin erişilebilirliğini kullanıcıların güncellenmiş Hizmet Koşullarını kabul etmesine bağlı kılarak, şirketin kullanıcıları hizmet iyileştirme ve güvenlik için kişisel verilerinin işlenmesine rıza göstermeye "zorladığını" ileri sürmüştür. Şikâyetçi bu durumun GDPR'yi ihlal ettiğini ileri sürmüştür.
DPC, aynı süre zarfında bu ve diğer şeffaflık yükümlülüklerinin ihlali nedeniyle WhatsApp İrlanda'ya zaten 225 milyon Avro para cezası vermiş ve başka bir para cezası veya düzeltici önlem uygulanmasını önermemiştir. İzleme kurulu ayrıca, WhatsApp İrlanda'nın kişisel verilerin işlenmesi için yasal bir dayanak sağlamak üzere kullanıcıların rızasına dayanmadığı görüşünü savundu. DPC, şikayetlerin "zorunlu rıza" yönünün sürdürülemeyeceğini söyledi.
Konu nihayetinde çözüme kavuşturulmak üzere Avrupa Veri Koruma Kurulu'na (EDPB) havale edildi.
EDPB, yasal dayanak konusunda DPC'den farklı bir görüş benimseyerek, WhatsApp İrlanda'nın hizmet iyileştirme ve güvenlik amacıyla kişisel verileri işlemesi için yasal bir dayanak olarak sözleşmeye güvenme hakkına sahip olmadığını tespit etti.
