De Ierse privacytoezichthouder DPC heeft Facebook en Instagram voor totaal € 390 miljoen beboet. Reden? Het schenden van privacyregels. Dat is niet de eerste keer voor moederbedrijf Meta, die onder het vergrootglas van Europa ligt. Na boetes voor een reeks datalekken en het onvoldoende beschermen van de privacy van kinderen, krijgt Meta deze boetes vanwege de vermeende noodzaak van het volgen van gebruikers voor gepersonaliseerde advertenties.
De aanleiding: klachten uit Oostenrijk en België
Op dezelfde dag dat de AVG van kracht werd in 2018, dienden zowel een Belgische als een Oostenrijkse gebruiker een klacht in over de nieuwe voorwaarden van enerzijds Facebook en anderzijds Instagram.
Meta had haar servicevoorwaarden namelijk in lijn gebracht met de Europese privacyregels. Wie na de introductie van de AVG toegang wilde houden tot Facebook en Instagram, moest op "Ik accepteer" klikken om aan te geven dat de bijgewerkte servicevoorwaarden werden geaccepteerd. Wie akkoord gaat met de servicevoorwaarden geeft ook toestemming voor de verwerking van persoonsgegevens voor gepersonaliseerde advertenties en diensten.
Belangrijke kanttekening: de services van Facebook en Instagram zijn niet toegankelijk voor gebruikers die dit weigeren.
Dat laatste is dan ook precies de reden dat de klachten werden ingediend. Meta ‘dwingt’ gebruikers hiermee om toestemming te geven voor de verwerking van hun persoonsgegevens op een manier waar niet iedereen van gediend is.
Meta beroept zich op contract én noodzaak
Door het accepteren van de bijgewerkte voorwaarden is Meta van mening dat er een contract wordt gesloten met een gebruiker. Het overeenkomen van een contract waarin onder meer staat opgenomen dat persoonsgegevens worden verwerkt vormt volgens de AVG een rechtmatige grondslag voor de verwerking van persoonsgegevens. Een gebruiker geeft daarmee namelijk expliciete toestemming voor de verwerking van zijn of haar gegevens.
Daarnaast meent Meta dat de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van de overeenkomst, daaronder vallen ook data voor gepersonaliseerde advertenties. Daarom zou Meta volgens de AVG niet eens toestemming hoeven te vragen, omdat deze persoonsgegevens strikt noodzakelijk zouden zijn voor het leveren van de dienstverlening..
Door te stellen dat advertenties deel uitmaken van de dienst die de gebruiker contractueel is aangegaan, wilde Meta het toestemmingsvereiste voor tracking en online reclame omzeilen.
Europese toezichthouder legt hoge boetes op
Meta heeft een hoofdkantoor in Ierland en daarom heeft de Ierse privacytoezichthouder DPC uiteindelijk de boete van totaal € 390 miljoen opgelegd. De koepel van Europese privacytoezichthouders EDPB heeft echter ook haar duidelijke mening gegeven en de voorgestelde boetes van de DPC zelfs verhoogd.
Het belangrijkste bezwaar van de Europese toezichthouders betreft het volgen van mensen. Meta stelt dat mensen bij aanmelding een contract aangaan voor de levering van gepersonaliseerde advertenties. Om mensen die advertenties te kunnen leveren, zegt Meta gebruikers wel te moeten volgen.
Het punt is alleen dat mensen geen gebruik kúnnen maken van de diensten van Facebook en Instagram als ze de servicevoorwaarden weigeren, en dat mag niet, stellen de toezichthouders. Gebruikers moeten hun expliciete toestemming kunnen geven, anders mag Meta hun gegevens niet gebruiken voor gepersonaliseerde advertenties.
Naast de boetes krijgt Meta daarom 3 maanden de tijd om wel aan de voorwaarden te voldoen.
Meta vindt dat de AVG-regels op de huidige manier wel correct worden nageleefd en gaat in hoger beroep.
Op de hoogte blijven van deze en andere ontwikkelingen?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.