WhatsApp riskeert 5,5 miljoen euro boete nu DPC de omvang van de zaak tegen WhatsApp beperkt en het verzoek van de EDPB om zaken als het delen van gegevens binnen Meta te onderzoeken afwijst.
Zoals de Ierse DPC vandaag heeft bevestigd, heeft de European Data Protection Board (EDPB) besloten dat Meta gebruikers van WhatsApp niet kan dwingen in te stemmen met het gebruik van hun gegevens voor "serviceverbeteringen" en "beveiliging". Het kernpunt van het gebruik van gegevens voor "de doeleinden van behavioural advertising, voor marketingdoeleinden, alsmede voor het verstrekken van metriek aan derden en het uitwisselen van gegevens met gelieerde bedrijven "werden niet behandeld door de Ierse DPC - ondanks een bindend besluit van de EDPB dat deze zaken moeten worden onderzocht. De beslissing komt 4,5 jaar nadat de oorspronkelijke klachten werden ingediend door noyb, over Meta's omzeiling van de GDPR via een clausule in de algemene voorwaarden.
- Uitlegvideo over Meta's omzeiling (vanaf december 2022)
- Blogpost over beslissingen op Facebook en Instagram
- Originele klachten van noyb uit 2018
- Definitieve beslissing van de DPC (PDF)
Belangrijkste feiten:
- Op 25 mei 2018 diende noyb drie klachten in tegen Facebook, Instagram en WhatsApp op basis van gedwongen toestemming.
- Twee klachten tegen Facebook en Instragram namens een Oostenrijkse en een Belgische gebruiker werden in de eerste week van januari beslist, wat leidde tot een gecombineerde boete van 390 miljoen euro.
- De derde uitspraak over WhatsApp namens een Duitse gebruiker werd vandaag gepubliceerd.
- Meta probeerde het toestemmingsvereiste in de GDPR te "omzeilen" door een clausule toe te voegen aan de voorwaarden voor reclame.
- In december 2022 vernietigde de EDPB een eerder ontwerpbesluit van de Ierse DPC dat van mening was dat de omzeiling van de GDPR door Meta legaal was en de EDPB verzocht om wijzigingen in het besluit over WhatsApp, evenals verder onderzoek naar de kernschendingen van WhatsApp.
- De DPC heeft haar beperkte besluit nu aangepast, maar weigert andere zaken te onderzoeken, zoals opgedragen door de EDPB. De DPC dreigt met een rechtszaak tegen haar Europese partners.
- Het besluit verplicht WhatsApp waarschijnlijk om een "opt-in" te implementeren voor het gebruik van persoonsgegevens voor "productverbetering", terwijl het gebruik van persoonsgegevens voor beveiliging grotendeels naar een andere rechtsgrondslag zou kunnen worden verschoven.
Meta wilde de GDPR "omzeilen". De GDPR staat zes rechtsgrondslagen toe om gegevens te verwerken, waarvan één toestemming is op grond van artikel 6, lid 1, onder a). Meta probeerde het toestemmingsvereiste voor tracking en online reclame te omzeilen door aan te voeren dat advertenties deel uitmaken van de "dienst" die het contractueel aan de gebruikers verschuldigd is. De vermeende omschakeling van de rechtsgrondslag gebeurde precies op 25 mei 2018 om middernacht, toen de GDPR in werking trad. Zogenaamde "contractuele noodzaak" krachtens artikel 6, lid 1, onder b), wordt doorgaans eng opgevat en zou bijvoorbeeld toestaan dat een online winkel het adres doorstuurt naar een postdienst, omdat dit strikt noodzakelijk is om een bestelling te bezorgen. Meta was echter van mening dat zij willekeurige elementen aan de overeenkomst kon toevoegen (zoals gepersonaliseerde reclame), om een ja/nee-toestemmingsoptie voor haar gebruikers te vermijden.
DPC beperkt zaak tot "veiligheid" en "verbetering van diensten". De DPC heeft de 4,5 jaar durende procedure nu beperkt tot de minder belangrijke kwesties van de rechtsgrondslag voor het gebruik van gegevens voor beveiligingsdoeleinden en voor de verbetering van diensten. De DPC gaat daarbij voorbij aan de belangrijke kwesties van het delen van WhatsApp-gegevens met Meta's andere bedrijven (Facebook en Instagram) voor onder meer reclame. Hoewel gebruikers via een opt-in moeten worden gevraagd naar het gebruik van hun gegevens voor het verbeteren van producten, lijkt het duidelijk dat het gebruik van gegevens voor beveiliging onder de GDPR legaal blijft, ook al is dit niet meer opgenomen in een contract.
Max Schrems:"Het verbaast ons hoe de DPC na een procedure van 4,5 jaar gewoon de kern van de zaak negeert. De DPC gaat ook duidelijk voorbij aan de bindende uitspraak van de EDPB. Het lijkt erop dat het DPC eindelijk alle banden met de EU-partnerautoriteiten en met de eisen van de EU- en Ierse wetgeving verbreekt."
WhatsApp "metadata" verder gebruikt voor gepersonaliseerde advertenties? Hoewel WhatsApp geen gepersonaliseerde advertenties aanbiedt, levert het wel zogenaamde "metadata" aan Facebook en Instagram, die op hun beurt worden gebruikt voor gepersonaliseerde advertenties op de twee social media platforms. Deze metadata onthullen veel informatie over het communicatiegedrag van gebruikers: wie communiceert met wie en wanneer, wie gebruikt de app wanneer, hoe lang en hoe vaak. Terwijl de communicatie zelf versleuteld is, worden de telefoonnummers en bijbehorende Facebook- of Instagram-accounts van mensen verzameld. Dergelijke informatie kan vervolgens worden gebruikt om advertenties voor gebruikers op andere Meta-platforms zoals Facebook en Instagram te personaliseren. De DPC lijkt geweigerd te hebben deze kern van de klachten te onderzoeken.
Max Schrems: "WhatsApp zegt dat het versleuteld is, maar dat geldt alleen voor de inhoud van chats - niet voor de metadata. WhatsApp weet nog steeds met wie je het meest chat en op welk tijdstip. Hierdoor kan Meta heel goed inzicht krijgen in het sociale weefsel om je heen. Meta gebruikt deze informatie om bijvoorbeeld advertenties te targeten waarin vrienden al geïnteresseerd waren. Het lijkt erop dat de DPC nu gewoon weigert om hierover een besluit te nemen, ondanks 4,5 jaar onderzoek."
DPC en Meta werkten samen en werden overruled door EDPB. In de loop van de procedure heeft Meta zich beroepen op tien vertrouwelijke bijeenkomsten met de Ierse DPC, waarin de DPC heeft toegestaan dat Meta deze "bypass" mocht gebruiken. Later bleek dat de DPC zelfs heeft geprobeerd om in het belang van Meta relevante EDPB-richtsnoeren te beïnvloeden. Niettemin hebben de andere Europese DPA's het standpunt van de DPC intern in 2018, in Richtsnoeren in 2019 en opnieuw in het definitieve EDPB-besluit in december 2022 verworpen. De zaak escaleerde tot 4,5 jaar met honderden pagina's aan rapporten en stukken, ondanks dat de zaak over een vrij eenvoudige juridische vraag ging.
Max Schrems:"Deze zaak gaat over een eenvoudige rechtsvraag. Meta beweert dat de 'bypass' gebeurde met de zegen van de DPC. De DPC heeft jarenlang de procedure uitgesteld en erop aangedrongen dat Meta de GDPR mag omzeilen, maar werd nu overruled door de andere EU-autoriteiten. Het is al met al de vierde keer op rij dat de Ierse DPC werd overruled."