Overzicht Actueel

Omstreden Ierse privacyboete voor Facebook: hoe zit het precies?

Omstreden Ierse privacyboete voor Facebook hoe zit het precies

Al sinds de AVG in werking is getreden staat veel druk op de Ierse toezichthouder. De Europese hoofdkantoren van veel tech-bedrijven zijn namelijk in Ierland gevestigd. Het regent in Ierland echter niet bepaald boetes, terwijl de handen van veel andere toezichthouders jeuken. Nu lijkt er toch een boete van €28 tot 36 miljoen te gaan vallen voor Facebook. Maar het conceptbesluit is nu al omstreden.

De klacht

Facebook is van mening dat persoonsgegevens die zij verwerken voor bijvoorbeeld gepersonaliseerde advertenties “noodzakelijk voor de overeenkomst” zijn. Volgens Facebook ga je als gebruiker een overeenkomst met hen aan wanneer je een account aanmaakt, en hebben ze de data nodig voor hun bedrijfsmodel. Hiermee hoeven zij zich niet te houden aan de strenge vereisten voor toestemming uit de AVG. Gebruikers kunnen hierdoor bijvoorbeeld ook hun toestemming niet intrekken voor online tracking.

NOYB, de organisatie van privacy-activist Max Schrems, heeft hier een klacht over ingediend bij de Ierse toezichthouder. Ze vinden de werkwijze van Facebook kwalijk, omdat bewust de regels en geest van de AVG worden omzeild. Als deze werkwijze geldig wordt verklaard, mag Facebook in principe alle persoonsgegevens verzamelen die zij noodzakelijk achten voor hun diensten. En met Facebook zullen andere bedrijven volgen, wat een enorme impact zou hebben op de bescherming van de privacy van de Europese burger.

Het conceptbesluit

Na drie jaar ligt er eindelijk een conceptbesluit over deze klacht. Samengevat vindt de Ierse toezichthouder de huidige werkwijze van Facebook niet in strijd met de AVG. Wel vinden ze dat Facebook niet transparant genoeg is over het overeenkomst-verhaal richting gebruikers. Hiervoor krijgen zij een boete van €28 tot €36 miljoen. Dit is 0,048% van Facebooks wereldwijde omzet, tegenover de mogelijkheid tot boetes van 4%.

Het komt voor privacyjuristen als een enorme verrassing dat de Ierse toezichthouder deze werkwijze goedkeurt. Ook omdat dit in lijkt te gaan tegen de opinie van andere Europese toezichthouders. De EDPB zei hier eerder al over dat gepersonaliseerde content wel een noodzakelijk element kan zijn van bepaalde online services, maar “where personalised content delivery is intended to increase user engagement with a service but is not an integral part of using the service, data controllers should consider an alternative lawful basis”.

Vermeende ‘geheime’ afspraken tussen Facebook en de toezichthouder

De keuze van de Ierse toezichthouder werpt vragen, maar ook vermoedens van partijdigheid op. Er schijnen in het voorjaar van 2018 tien gesprekken te hebben plaatsgevonden tussen Facebook en de Ierse toezichthouder. Wat de inhoud van die gesprekken precies waren, is niet duidelijk. Wel verwijzen zij in het conceptbesluit naar een “specifieke analyse” die de DPC aan Facebook heeft verstrekt, zonder verdere toelichting. NOYB heeft meermaals geprobeerd de verslagen van deze gesprekken openbaar te laten maken, maar zonder succes.

Delen van conceptbesluit

Dat is niet de enige spanning die tussen NOYB en de DPC speelt. NOYB heeft het conceptbesluit als klachtindiener ontvangen en online gedeeld. Dit besluit was volgens de DPC absoluut niet bedoeld om te delen met het grote publiek. DPC heeft NOYB nu ook een take down request gestuurd waarin wordt verzocht het conceptbesluit te verwijderen. Zij vinden namelijk dat deze publicatie het overlegproces en de finalisering van het besluit in de weg staat. NOYB heeft hier geen boodschap aan en heeft het besluit gewoon nog op de website staan.

Vervolg

Als de DPC definitief oordeelt dat de verwerking van persoonsgegevens voor advertentiedoeleinden geldig is onder de contract-grondslag, zal heel privacy-land op zijn kop staan. De kans is ook groot dat andere toezichthouders en de EDPB druk zullen uitoefenen om dit besluit te overrulen. Hier is het laatste woord dus nog niet over gesproken.

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.