Facebook-moederbedrijf Meta heeft (weer) een miljoenenboete gekregen van de Ierse privacy toezichthouder DPC. Het sociale mediabedrijf moet in totaal €390 miljoen betalen vanwege het verkeerd toepassen van de wettelijke grondslag waarop het advertentiemodel is gebaseerd. Of de boete leidt tot goede voornemens voor het nieuwe jaar, is de vraag. Meta heeft al aangegeven het niet eens te zijn met de boete en gaat in beroep. Bovendien ontvingen de dochters Facebook, Whatsapp en Instagram samen al zes keer eerder een boete voor privacy-overtredingen in Europa (vijf AVG-boetes en één op grond van de e-Privacy richtlijn). Toch ligt ook de Ierse toezichthouder, die de meeste van die boetes uitdeelde, onder vuur, omdat men te soepel zou omgaan met Big Tech.
Facebook en Instagram, de twee Meta-bedrijven die voor de overtreding beboet worden, willen advertenties tonen gebaseerd op gedrag. Het bijhouden van gedrag van gebruikers, zoals zoekopdrachten, klikgedrag, likes enzovoort, was volgens de Amerikanen mogelijk in het kader van de overeenkomst met de gebruiker. Bij het aanmaken van een account spreek je met het sociale mediaplatform af dat je gedrag bijgehouden en met derden gedeeld mag worden om gepersonaliseerde advertenties aan te bieden, aldus Meta. De onderbouwing daarvan is dat de hele ervaring op Facebook en Instagram gepersonaliseerd en uniek is. Meta legt dus de nadruk op de sterke verwevenheid van het zijn van een advertentieplatform en een sociale mediaplatform. De European Data Protection Board (EDPB) ging daar niet in mee, en dwong de Ierse toezichthouder om een stevige boete op te leggen van €390 miljoen.
Wie persoonsgegevens verwerkt als verwerkingsverantwoordelijke, heeft een grondslag nodig. Voor het bijhouden van onlinegedrag voor advertenties, geldt standaard de grondslag toestemming. Voor tracking-cookies geldt op grond van de e-Privacyrichtlijn (in Nederland in de Telecommunicatiewet omgezet) altijd een toestemmingseis. Het gebruik van de grondslag overeenkomst kan alleen als het gebruik van persoonsgegevens een “kernelement” van het contract met de klant vormt.
Het volgen van gedrag voor advertentiedoeleinden staat weliswaar in de algemene voorwaarden van zowel Facebook als Instagram. Echter, het aanbieden van gepersonaliseerde advertenties staat daar niet als een verplichting richting de gebruiker. Een gebruiker kan bijvoorbeeld geen stappen ondernemen vanwege het niet bieden van gepersonaliseerde advertenties. Daar komt bij dat een gemiddelde gebruiker volgens de EDPB helemaal niet zal verwachten dat dit gebruik van persoonsgegevens een contractuele afspraak is, op basis van een zin die ver is weggestopt in de algemene voorwaarden.
Kortom, de overeenkomst als grondslag gaat niet op bij het verzamelen en delen met derden van het gebruikersgedrag op sociale media. Facebook en Instagram zullen gebruikers op basis van dit besluit om toestemming moeten vragen voordat zij hiermee verder mogen gaan. Hiermee wordt volgens noyb, de privacy-waakhond onder leiding van Max Schrems die de oorspronkelijke klacht indiende, een gelijk speelveld gecreëerd voor alle partijen die gepersonaliseerde advertenties willen verkopen.
Het bovengenoemde noyb viert de overwinning op Meta op haar website, maar beklaagt zich ook over de houding van de Ierse toezichthouder DPC. Oorspronkelijk wilde deze slechts een boete van tussen de 28 en 36 miljoen opleggen naar aanleiding van haar onderzoek, een fractie van het huidige boetebedrag. Onder het ‘one-stop-shop-mechanisme' vallen bedrijven met een Europese hoofdvestiging in Ierland onder de Ierse privacy toezichthouder. Vanwege gunstige belastingregels zijn veel van de Amerikaanse tech-reuzen in Ierland gevestigd. Al jaren klinkt er kritiek dat de DPC te lang over onderzoeken doet en te veel onderhandelt met overtreders, in plaats van hard op te treden. Nu de DPC publiekelijk hard op de vingers is getikt door de EDPB, is de vraag of de handhaving in Ierland er in de toekomst wat harder aan toe zal gaan.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.