noyb klachten: Meta's businessmodel illegaal verklaard in de EU volgens WSJ. Facebook, Instagram en WhatsApp kunnen niet langer gepersonaliseerde advertenties draaien zonder toestemming van de gebruiker
Zoals The Wall Street Journal meldt, heeft de EDPB besloten dat Meta gebruikers niet kan dwingen om in te stemmen met gepersonaliseerde advertenties. In mei 2018, toen de GDPR van kracht werd in de EU, dacht Meta Ireland Ltd. de vereiste om opt-in toestemming van gebruikers te krijgen te kunnen "omzeilen" door simpelweg een bepaling toe te voegen in de algemene voorwaarden. Op 25 mei 2018 diende de digitale rechtenorganisatie noyb klachten in bij de relevante gegevensbeschermingsautoriteiten (DPA's). Nu, 4,5 jaar later, heeft de European Data Protection Board (EDPB) de vermeende "omzeiling" van de GDPR door Meta illegaal bevonden. De EDPB verwierp ook het standpunt van de Ierse Data Protection Commission (DPC) die eerder de kant van Meta koos, nadat het vier jaar duurde om de zaak te onderzoeken.
- Exclusief verslag van de Wall Street Journal
- Oorspronkelijke klachten van 25 mei 2018
- Achtergrond over de goedkeuring door de DPC van de "consent bypass"
- Achtergrond hoe de DPC de EDPB duwde in het belang van Meta
- EDPB-richtsnoeren 2/2019 over artikel 6, lid 1, onder b), GDPR
Belangrijkste feiten. Hier zijn de belangrijkste takeaways:
- De huidige informatie is gebaseerd op berichtgeving van de Wall Street Journal, volgens welke de EDPB"oordeelde dat de EU-privacywetgeving niet toestaat dat Meta-platforms, zoals Instagram en Facebook, hun servicevoorwaarden gebruiken als rechtvaardiging voor het toestaan van dergelijke reclame."
- Deze beslissing is gebaseerd op klachten die noyb heeft ingediend op 25 mei 2018, de dag dat de GDPR van toepassing werd.
- De EDPB heeft een uitspraak gedaan die de Ierse DPC (de toezichthouder voor Meta in de EU) verplicht om binnen een maand een definitief besluit te nemen.
- De EDPB-beschikking is niet gericht tegen de partijen voor de procedure, maar tegen de Ierse DPC.
- De EDPB heeft daarmee een eerdere ontwerpbeslissing van de Ierse DPC, waarin de omzeiling van de GDPR door Meta legaal werd geacht, ongedaan gemaakt.
- De EDPB-beschikking schrijft voor dat Meta geen persoonsgegevens mag gebruiken voor advertenties op basis van een vermeend "contract". Gebruikers moeten dus een ja/nee toestemming kunnen geven.
- De EDPB-beschikking verbiedt geen andere vormen van reclame (zoals contextuele advertenties, gebaseerd op de inhoud van een pagina).
- De EDPB-beschikking zelf is niet gepubliceerd, maar zal samen met de definitieve beslissing van de DPC in januari 2023 worden gepubliceerd.
- De EDPB vroeg ook een aanzienlijke boete, het exacte bedrag is nog niet bekend.
Meta wilde toestemming "omzeilen". De GDPR staat zes rechtsgronden toe om gegevens te verwerken, een daarvan is toestemming op grond van artikel 6, lid 1, onder a). Meta probeerde het toestemmingsvereiste voor tracking en online reclame te omzeilen met het argument dat advertenties deel uitmaken van de "dienst" die het de gebruikers contractueel verschuldigd is. De vermeende omschakeling van de rechtsgrondslag gebeurde precies op 25 mei 2018 om middernacht toen de GDPR van toepassing werd. De zogenaamde "contractuele noodzaak" krachtens artikel 6, lid 1, onder b), wordt doorgaans eng opgevat en zou bijvoorbeeld toestaan dat een online winkel het adres doorstuurt naar een postdienst, omdat dit strikt noodzakelijk is om een bestelling te bezorgen. Meta was echter van mening dat zij gewoon willekeurige elementen aan de overeenkomst kon toevoegen (zoals gepersonaliseerde reclame), om een ja/nee toestemmingsoptie voor gebruikers te vermijden.
Max Schrems:"In plaats van een ja/nee optie voor gepersonaliseerde advertenties, hebben ze gewoon de toestemmingsclausule in de voorwaarden verplaatst. Dit is niet alleen oneerlijk maar ook duidelijk illegaal. We kennen geen enkel ander bedrijf dat de GDPR op zo'n arrogante manier probeert te negeren."
Forse boete verwacht. Naast een algehele stop van gepersonaliseerde advertenties heeft de EDPB aangedrongen op een enorme boete voor Meta, aldus de WSJ. Immers, het bedrijf heeft de meeste commerciële gegevensverwerking gebaseerd op een wettelijke basis die door de EDPB in 2019 duidelijk is uitgesloten in expliciete Richtsnoeren, wat leidt tot duidelijk opzettelijke schendingen van de wet. Meta is tot nu toe al voor meer dan 1 miljard euro aan GDPR-boetes opgelegd. Meta moet deze boete betalen aan de Ierse staat.
Max Schrems: "Deze procedure put uit veel middelen van onze door donaties gefinancierde vereniging. De zaak komt daarna waarschijnlijk voor de rechter. De boete gaat echter naar Ierland - de staat die de kant van Meta heeft gekozen en de procedure meer dan vier jaar heeft vertraagd."
DPC en Meta werkten samen aan de "bypass". In de loop van de procedure heeft Meta zich beroepen op tien vertrouwelijke bijeenkomsten met de Ierse DPC waarin de DPC Meta zou hebben toegestaan deze "bypass" te gebruiken. Later is gebleken dat de DPC zelfs heeft geprobeerd om in het belang van Meta de relevante EDPB-richtsnoeren te beïnvloeden. Niettemin verwierpen de andere Europese DPA's het standpunt van de DPC al in 2018 en opnieuw in de uiteindelijke EDPB-beschikking. De zaak nam meer dan 4,5 jaar in beslag en leidde tot honderden pagina's aan rapporten en stukken, ondanks dat de zaak over een vrij eenvoudige juridische vraag ging.
Max Schrems:"Deze zaak gaat over een eenvoudige rechtsvraag. Ondanks de trage procedure zijn we toch blij met de EDPB-beschikking."
Gevolg: geen gepersonaliseerde advertenties. De beslissing betekent dat Meta gebruikers een versie van alle apps moet toestaan die geen persoonlijke gegevens gebruikt voor advertenties. De beslissing zou Meta nog steeds toestaan om niet-persoonlijke gegevens (zoals de inhoud van een verhaal) te gebruiken om advertenties te personaliseren of om gebruikers om toestemming voor advertenties te vragen via een ja/nee optie. Gebruikers moeten hun toestemming te allen tijde kunnen intrekken en Meta mag de dienst niet beperken. Hoewel dit de winst van Meta in de EU drastisch zal beperken, zou het advertenties niet volledig verbieden. De beslissing plaatst Meta op hetzelfde niveau als andere websites of apps, die gebruikers een ja/nee-optie moeten bieden.
Max Schrems:"Dit is een enorme klap voor de winsten van Meta in de EU. Mensen moet nu worden gevraagd of ze willen dat hun gegevens worden gebruikt voor advertenties of niet. Ze moeten een 'ja of nee' antwoord krijgen en kunnen op elk moment van gedachten veranderen. Het besluit zorgt ook voor een gelijk speelveld met andere adverteerders die ook opt-in toestemming moeten krijgen."
Volgende stappen. Het EDPB-besluit wordt voorgelegd aan de Ierse DPC. De beslissing moet vervolgens binnen een maand (dus in januari 2023) worden betekend aan Meta in Ierland en noyb in Oostenrijk. Meta kan dan in beroep gaan tegen de beslissing, maar de kans om zo'n beroep te winnen is minimaal na een EDPB-beschikking. Er lopen ook twee vergelijkbare zaken bij het Hof van Justitie van de EU (HvJEU) over de toestemmingsomleiding van Meta, die de kwestie en alle beroepen voorgoed kunnen beslechten. Gebruikers kunnen ook actie ondernemen tegen het illegale gebruik van hun gegevens in de afgelopen 4,5 jaar.