De Ierse DPC heeft zijn definitieve besluit bekendgemaakt over Meta's illegale verwerking van gebruikersgegevens voor persoonlijke reclame. Hier is een downloadlink en een eerste korte samenvatting door noyb.
Het DPC-besluit toont duidelijk aan dat de Ierse DPC en de EDPB het op grote schaal oneens zijn.
Grote strijd tussen DPC en EU-tegenhangers. Uit het DPC-besluit blijkt dat de Oostenrijkse, Duitse, Franse, Italiaanse, Nederlandse, Noorse, Poolse, Portugese en Zweedse autoriteiten allemaal formeel bezwaar hebben gemaakt tegen het DPC-besluit. Traditioneel maken de autoriteiten echter geen formeel bezwaar als duidelijk is dat de zaak al door een aantal autoriteiten aan de orde is gesteld. De DPC heeft er niet eens voor gezorgd het besluit te wijzigen en haar standpunten aan te passen, maar heeft gewoon het standpunt van de EDPB overgenomen in het vorige besluit.
Max Schrems:"Het besluit leest als huiswerk waarbij de leerling er niet eens om gaf om fouten te veranderen, maar slechts de correcties van de leraar in een tekst kopieerde."
DPC-beslissing mag zaak niet beëindigen. Het besluit lijkt ook niet volledig in te gaan op de klachten van noyb, omdat het besluit niet ingaat op zaken als het gebruik van persoonsgegevens voor het verbeteren van het Facebook-platform of voor gepersonaliseerde content. Ook de EDPB eiste nader onderzoek. Daarnaast is het onderliggende conflict dat volgens Oostenrijks of Duits recht de klacht de reikwijdte van de procedure bepaalt, de DPC is echter van mening dat zij volgens Iers recht de reikwijdte van een klacht kan beperken. noyb zal mogelijk op deze gronden tegen de beslissing in beroep gaan.
Minimale boete voor daadwerkelijke schending van gebruikersrechten? Een nogal schokkend element betreft de hoogte van de boetes. Terwijl de EDPB een "aanzienlijk hogere" boete eiste, besliste de DPC over de uiteindelijke bedragen. Terwijl de DPC Facebook een boete van in totaal 150 miljoen euro oplegde wegens transparantieproblemen, legde de DPC Meta slechts een boete van 60 miljoen euro op wegens het ontbreken van een rechtsgrondslag voor de verwerking van de gegevens van miljoenen Europese gebruikers gedurende ongeveer vijf jaar.
Max Schrems:"Blijkbaar vindt de DPC het belangrijker om gebruikers op een transparante manier te naaien, dan ze helemaal niet te naaien."
Meer details in bullet points. Het besluit is opgedeeld in verschillende delen die verschillende kwesties behandelen en een schema dat gaat over procedurele zaken. Een korte samenvatting van de belangrijkste takeaways kun je hieronder lezen, met de paragrafen waar je het punt in de uiteindelijke Facebook-beschikking kunt vinden. Er kunnen kleine verschillen zijn voor de Instagram-beschikking, maar we verwachten dat ze grotendeels vergelijkbaar zullen zijn.
Of Meta toestemming mag gebruiken (punt 1 van het besluit)
- De DPC probeert de vraag of Meta gebruikers opzettelijk misleidt te negeren door simpelweg te zeggen dat dit een transparantiekwestie is (§ 2.19), de DPC verwerpt dan ook dat zij de oorspronkelijke klacht niet volledig heeft onderzocht (§ 2.20).
- De EDPB oordeelde dat de DPC"een onderzoek had moeten omvatten naar "[Facebooks] verwerkingsactiviteiten, de categorieën van verwerkte gegevens (met inbegrip van het identificeren van speciale categorieën van persoonsgegevens die kunnen worden verwerkt), en de doeleinden die zij dienen", om de klacht volledig vast te stellen.
- De DPC blijft voorbijgaan aan de kern van de klachten, namelijk of de clausules in de voorwaarden de facto neerkomen op een verborgen toestemmingsclausule(falsa demonstratio). In plaats daarvan sluit de DPC zich aan bij het standpunt van Meta dat als de voor de verwerking verantwoordelijke nooit om toestemming heeft gevraagd. Als dat het geval is, kan er geen sprake zijn van toestemming (§ 3.10) en hoeft de zaak dus niet te worden onderzocht, ook niet als het verwijt is dat Meta eenvoudigweg een toestemmingsclausule in de voorwaarden heeft opgenomen.
- Het feit dat uit een onderzoek onder 1.000 gebruikers blijkt dat meer dan 60% vindt dat het om toestemming gaat en minder dan 2% denkt dat het om een contract gaat, wordt door de DPC voortdurend genegeerd. De EDPB heeft de studie aangemerkt als belangrijke informatie die door de DPC niet in overweging is genomen en niet in het ontwerpbesluit is opgenomen.
- De EDPB heeft de beoordeling van de DPC over de vraag of het klikken op "accepteren" op de Meta-website inderdaad moest worden beoordeeld als "toestemming" krachtens artikel 6, lid 1, onder a), of als een "overeenkomst" krachtens artikel 6, lid 1, onder b), GDPR, ongedaan gemaakt.
- De EDPB heeft geëist dat de DPC alle conclusies over "Issues 1" in de beschikking schrapt (zie § 3.26). Terwijl de DPC al haar bevindingen op de pagina's 15 tot en met 21 in de ontwerp-beschikking handhaaft (tegen het standpunt van de EDPB in), heeft de DPC aan het einde van het hoofdstuk een enkele alinea toegevoegd waarin staat dat zij (ondanks het handhaven van alle argumenten tegen het standpunt van de EDPB) "geen enkele bevinding doet met betrekking tot kwestie 1".
Of Meta artikel 6, lid 1, onder b), "overeenkomst" mag gebruiken (punt 2 van het besluit)
- De DPC weigerde alle verwerkingen te onderzoeken waarbij Meta zich beroept op artikel 6, lid 1, onder b), omdat het"een klager niet vrij zou staan ... een dergelijke beoordeling te eisen". Facebook heeft bijgevolg nooit een lijst van alle verwerkingen en de relevante rechtsgrondslag verstrekt. Dit kan in strijd zijn met het Oostenrijkse recht, waar de reikwijdte van een klacht duidelijk een zaak van de klager is. De DPC heeft de zaak daarom alleen op principieel niveau onderzocht (§ 4.7), met een focus op "behavioral advertisement". Dit kan de beslissing aanvechtbaar maken, aangezien andere vormen van personalisering (zoals personalisering van inhoud, verbetering van het product en dergelijke) of de verwerking van gevoelige persoonsgegevens op grond van artikel 9 GDPR ook aan de orde zijn gesteld, maar niet zijn behandeld in het onderzoek en de beslissing van de DPC.
- Het DPC ziet geen bevoegdheid bij de interpretatie van wat een "contract" is en meent dat de bevoegdheid van het DPC beperkt is tot de GDPR (§ 4.13). Dit is nogal verbazingwekkend aangezien het vaststellen van wat het contract inhoudt een logische voorwaarde is om te bepalen of de verwerking "noodzakelijk" is om een contract na te komen. noyb heeft eerder gezegd dat het niet beoordelen van het contract neerkomt op een truc om de zaak niet te behandelen. Het DPC"verwerpt in de meest krachtige bewoordingen deze ernstige beschuldigingen van mala fides, oneerlijkheid en anderszins onrechtmatig gedrag" door noyb terwijl de contractuele noodzaak eenvoudigweg niet is onderzocht door het DPC. De DPC aanvaardt niet dat het niet onderzoeken van de inhoud van het contract een"rechtsweigering" zou zijn (§ 4.16).
- In § 4.26 tot en met 4.55 herhaalt het DPC het meningsverschil tussen het DPC en de EDPB, waar het DPC zegt dat het de inhoud van contracten niet mag beoordelen en het een ruime interpretatie voorstaat, waarbij alles wat in een contract of voorwaarden wordt gezet "noodzakelijk" is op grond van artikel 6, lid 1, onder b), GDPR.
- De EDPB lijkt zich te hebben gebaseerd op de verwijzingen van het HvJEU in C-252/21 en C-446/21 over feitelijke vaststellingen over het gebruik van persoonsgegevens door Meta voor reclame en dergelijke, aangezien de DPC weigerde de zaak volledig te onderzoeken (blz. 37 en 38). Er lijkt een groot procedureel probleem te zijn, aangezien de EDPB wellicht eenvoudigweg het feitelijke bewijs mist om een besluit te nemen over de gehele klacht, indien de DPC voortdurend weigert de zaak zelfs maar volledig te onderzoeken.
- De DPC kopieert vervolgens gewoon de EDPB-beschikking in de ontwerp-beschikking van de DPC. De EDPB benadrukt:
- De EDPB wijst de standpunten van de DPC grotendeels af en benadrukt dat uit het onderzoek van noyb blijkt dat gebruikers dit niet zien als contract, maar als toestemming.
- De EDPB zegt ook dat het feit dat Meta ervoor kiest om winst te maken via gepersonaliseerde advertenties, dit ze niet "noodzakelijk" maakt omdat Meta ook advertenties zou kunnen draaien op basis van context of andere gegevens.
- De EDPB is van mening dat het voornaamste doel waarvoor gebruikers Meta-diensten gebruiken communicatie is, niet voor gepersonaliseerde advertenties.
- Volgens de EDPB kan het standpunt van de DPC en Meta ook andere exploitanten aanmoedigen om artikel 6, lid 1, onder b), te gebruiken als een omzeiling van het toestemmingsvereiste.
- De EDPB sluit zich aan bij het standpunt van de Oostenrijkse, Duitse, Franse, Italiaanse, Nederlandse, Noorse, Poolse, Portugese en Zweedse autoriteiten dat behavioural advertising"objectief gezien niet noodzakelijk is voor de uitvoering van de vermeende overeenkomst van Meta".
- Zonder verder commentaar stelt de DPC vervolgens in § 4.56 vast (tegen alles wat zij eerder heeft betoogd) dat zij"op aanwijzing van de EDPB" vaststelt"dat Facebook zich niet mocht beroepen op artikel 6, lid 1, sub b, GDPR" met het oog op behavioral targeting.
Transparantie van de "bypass"
- De DPC heeft zich tot nu toe vooral op het standpunt gesteld dat Meta de (in de ogen van de DPC overigens legale) bypass van de GDPR gewoon transparanter had moeten maken. Dit zou hebben betekend dat gebruikers slechts een extra pop-up of iets dergelijks te zien krijgen, maar zou Meta niet hebben tegengehouden om gebruikersgegevens verder te misbruiken. Het gebrek aan transparantie wordt in het besluit gehandhaafd en toegelicht in § 5.1 tot en met § 5.77.
- De EDPB benadrukte echter dat dit ook leidt tot een schending van artikel 5(1)(a) GDPR, wat op zijn beurt ook zou betekenen dat de persoonsgegevens van gebruikers niet verwerkt hadden mogen worden.
- De DPC heeft de EDPB-beschikking opnieuw gewoon gekopieerd/geplakt in haar eigen beschikking en er één regel aan toegevoegd met de mededeling dat zij volgens de EDPB-beschikking deze aanvullende vaststelling moest doen.
De eindbeschikkingen:
- De EDPB heeft een termijn van drie maanden gevraagd om aan het bevel te voldoen vanaf de betekening ervan. Het verbiedt Meta om gebruik te maken van artikel 6, lid 1, sub b, zoals beschreven in de beschikking van de EDPB.
- De DPC preciseerde dat de EDPB-beschikking moet betekenen dat "de verwerking" beperkt is tot verwerking voor reclamedoeleinden. Het lijkt erop dat andere aspecten van de klacht door de DPC niet zijn behandeld, wat op zich onrechtmatig kan zijn.
- De DPC heeft de EDPB-beschikking zodanig gewijzigd dat de termijn van drie maanden niet ingaat op het moment dat de EDPB-beschikking aan Meta is betekend (ergens in december), maar op het moment dat de DPC-beschikking is betekend (ergens in januari) (zie § 8.11). Deze afwijking van de DPC van de EDPB-beschikking lijkt onrechtmatig.
- De EDPB is het fundamenteel oneens met het standpunt van de DPC over de boete. De Duitse autoriteit noemde deze zelfs "contrafactisch" (blz. 91). Tegelijkertijd had de EDPB ook niet het bewijs om vast te stellen dat Meta de GDPR "opzettelijk" heeft geschonden, zoals de Zweedse DPA betoogde.
- De EDPB stelde geen specifieke boete vast, maar eiste alleen een "aanzienlijk hogere" boete van het DPC.
- De pagina's 100 tot en met 153 zijn gewijd aan een herbeoordeling van de verhoogde boete door het DPC. De boete is verdeeld in 80 miljoen euro en 70 miljoen euro voor een gebrek aan transparantie en slechts 60 miljoen euro in verband met de feitelijke onrechtmatige verwerking van persoonsgegevens van miljoenen EU-gebruikers op grond van artikel 6, lid 1, onder b) (§ 10.45).