Er bestaat fundamentele twijfel over de rechtmatigheid waarop Facebook gegevens van alle EU-klanten verwerkt.
Dat blijkt uit een gerechtelijke uitspraak in de slepende civiele zaak tussen de Oostenrijkse privacyspecialist Max Schrems en Facebook voor het Oostenrijkse Hooggerechtshof (Oberster Gerichtshof, of “OGH”).
Het Oostenrijkse gerechtshof heeft het verzoek van Schrems aanvaard om een aantal vragen voor te leggen aan het Hof van Justitie van de Europese Unie (HJEU, het hoogste gerechtshof in de EU).
De vier vragen doen fundamentele twijfels rijzen over de rechtmatigheid van Facebooks gebruik van gegevens van alle EU-klanten.
Tegelijkertijd heeft het Oostenrijkse Hooggerechtshof in een gedeeltelijk arrest besloten dat Schrems een symbolische emotionele schadevergoeding van 500 euro zal ontvangen omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven, maar in plaats daarvan een “paaseierenjacht” naar gebruikersgegevens heeft georganiseerd.
“Toestemming” of “overeenkomst”?
Het Oostenrijkse Hooggerechtshof heeft twijfels over de rechtsgrondslag die Facebook gebruikt voor bijna alle verwerkingen van gebruikersgegevens. De GDPR noemt zes mogelijkheden om persoonsgegevens rechtmatig te verwerken, waaronder “toestemming” en “contract”. Je kunt je alleen op “contract” beroepen als de verwerking noodzakelijk is voor de uitvoering van het contract.
Vóór de GDPR beweerde Facebook dat gebruikers “instemden” met hun verwerking van gepersonaliseerde reclame. De GDPR verhoogde echter de vereisten voor toestemming om geldig te zijn en gaf gebruikers ook het recht om hun toestemming op elk moment in te trekken.
Dus op 25 mei 2018, toen de GDPR van toepassing werd, beweerde Facebook niet langer dat het zich op toestemming beriep. In plaats daarvan zei Facebook dat de toestemmingsclausules moeten worden gezien als een “contract” waarbij gebruikers gepersonaliseerde reclame “bestelden”.
In de ogen van Facebook kunnen ze met deze omzeiling gebruikers ontdoen van alle rechten die onder de GDPR aan toestemming zijn verbonden. De vereisten van een “vrij gegeven” of “geïnformeerde” toestemming zouden niet meer van toepassing zijn als het wordt geïnterpreteerd als een “contract”.
Max Schrems, voorzitter van noyb.eu: “Facebook probeert gebruikers van veel GDPR-rechten te beroven door toestemming simpelweg te ‘herinterpreteren’ als een civielrechtelijk contract. Dit was niets anders dan een goedkope poging om de GDPR te omzeilen.”
Facebook zou de GDPR illegaal kunnen “ondermijnen”.
Het Oostenrijkse Hooggerechtshof lijkt deze bezorgdheid te delen. In zijn verwijzing naar het HvJEU vat het Oostenrijkse Hooggerechtshof zijn twijfels samen of Facebook artikel 6, lid 1, onder a) en b) GDPR zomaar kan omzeilen in punt 54 van de verwijzing:
“Een kernvraag van het onderhavige geding is of de intentieverklaring tot verwerking door de verweerder onder het rechtsbegrip volgens art. 6(1)(b) GDPR kan worden verschoven om daarmee de aanzienlijk hogere bescherming die de rechtsgrondslag ’toestemming’ aan de eiser biedt, te ‘ondermijnen’.”
Max Schrems: “In principe berust al het datagebruik dat Facebook in de EU winst oplevert op dit juridische argument. Als Facebook bij het HvJEU verliest, moeten ze daar niet alleen mee stoppen en alle illegaal gegenereerde gegevens verwijderen, maar ook miljoenen gebruikers een schadevergoeding betalen. Ik ben erg blij met deze verwijzing.”
Het Oostenrijkse Hooggerechtshof heeft nog drie vragen over de rechtmatigheid van Facebooks gebruik van persoonsgegevens aan het Hof van Justitie voorgelegd.
Het HvJEU zal moeten beslissen of het gebruik van alle gegevens op facebook.com en uit talloze andere bronnen, zoals websites die “Like”-knoppen van Facebook of reclame gebruiken, voor welk doel dan ook, verenigbaar is met het beginsel van “gegevensminimalisering” van de GDPR.
Twee andere vragen hebben betrekking op het gebruik door Facebook van gevoelige gegevens (zoals politieke opvattingen of seksuele geaardheid) voor gepersonaliseerde reclame.
Max Schrems: “Deze andere vragen zijn van cruciaal belang. Facebook mag misschien niet meer alle gegevens voor advertenties gebruiken, zelfs niet als het daarvoor geldige toestemming heeft gekregen. Het kan ook zijn dat het gevoelige gegevens zoals politieke meningen of gegevens over seksuele geaardheid moet filteren. Tot dusver heeft Facebook betoogd dat het geen onderscheid maakt tussen deze soorten gegevens.”
Gedeeltelijke uitspraak over schadevergoeding
Daarnaast heeft het Oostenrijkse Hooggerechtshof een definitief arrest gewezen over bepaalde eisen waarover kan worden beslist zonder dat een verwijzing naar het HvJEU nodig is.
Het Oostenrijkse Hooggerechtshof heeft besloten dat Schrems een schadevergoeding van 500 euro krijgt omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven. Het Hof oordeelde dat hij niet alle ruwe gegevens heeft gekregen, noch cruciale informatie zoals de rechtsgrondslag op basis waarvan zijn gegevens zijn verwerkt.
Het Hof benadrukte dat de gegevens die Facebook via zijn online tool aanbood, verspreid waren over meer dan 60 gegevenscategorieën met honderden, zo niet duizenden gegevenspunten, wat een paar uur zou kosten om door te spitten.
Het Hof oordeelde in punt 153: “De eiser wijst er terecht op dat de GDPR is gebaseerd op een eenmalig verzoek om toegang, niet op een ‘paaseierenjacht'”.
Aanmelden PrivacyZone Nieuwsbrief
Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.
Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.
U kunt u ten allen tijde eenvoudig afmelden voor de nieuwsbrief. Zie de Privacy Policy en Algemene Voorwaarden van PrivacyZone.