Meta krijgt 390 miljoen euro boete voor wijzigen van gebruikersvoorwaarden

Startpunt

Voor het begin van dit proces moeten we terug naar april 2018. Anticiperend op de verplichtingen in de Algemene Verordening Gegevensbescherming (AVG) wijzigde Meta (toen nog Facebook) de gebruikersvoorwaarden van het platform. De AVG bracht namelijk verzwaard toezicht met zich mee, in de vorm van boetes die op kunnen lopen tot 4% van de wereldwijde jaaromzet. Waarschijnlijk zag Meta zichzelf om die reden genoodzaakt om kritisch te kijken naar de grondslag waarop persoonsgegevens van gebruikers werden verwerkt en de informatie die daarover werd verstrekt.

Het social media-platform maakte vooral gebruik van toestemming als grondslag voor deze verwerkingen, maar hier hangen zware vereisten aan. Meta besloot daarom om de informatie omtrent het gebruik van gebruikersgegevens op te nemen in de gebruikersvoorwaarden. Met het accepteren van de nieuwe voorwaarden door de gebruiker zou vervolgens een contract ontstaan. Daarmee zou de grondslag voor deze verwerkingen niet meer toestemming zijn, maar noodzakelijk voor het uitvoeren van een overeenkomst.

Om gebruik te kunnen blijven maken van het platform waren gebruikers genoodzaakt om deze nieuwe voorwaarden te accepteren vóór 25 mei 2018 (de datum waarop de AVG in werking trad). Dit gebeurde middels een ‘’user flow’’ waar gebruikers een aantal keuzes gepresenteerd kregen (bijvoorbeeld voor het toestaan van gezichtsherkenning) met aan het einde de optie om de gebruikersvoorwaarden te accepteren. Hierbij stonden hyperlinks naar de gebruikersvoorwaarden zelf en andere informatie, zoals de datapolicy van Meta. Gebruikers die de voorwaarden niet accepteerden, werden geadviseerd om het account te verwijderen.

Klacht Max Schrems’ None Of Your Business

In navolging van deze wijziging diende None of Your Business (NOYB), de stichting van privacy-voorvechter Max Schrems, dezelfde dag nog klachten in bij de Oostenrijkse toezichthouder. Omdat het hoofdkantoor van Meta in Ierland zit, werd de klacht overgedragen aan de Ierse privacytoezichthouder (DPC). Dit mechanisme wordt ook wel ‘’one-stop-shop’’ genoemd en moet bijdragen aan een efficiënte en eenduidige afhandeling van klachten.

Volgens de klacht van NOYB zouden gebruikers gedwongen worden de voorwaarden én de datapolicy te accepteren om daarmee toestemming te geven voor een groot aantal verwerkingen van hun persoonsgegevens. Daarnaast zou het onduidelijk zijn voor gebruikers welke grondslagen Meta precies hanteert voor verschillende verwerkingen.

De DPC startte een onderzoek en vanaf daar begon ruim 4 jaar aan juridisch getouwtrek. NOYB verweet de DPC te traag te handelen in het proces en bracht de zaak ook voor het gerecht in Oostenrijk. In die zaak kwam een (misschien) nog veel belangrijker punt naar voren: volgens NOYB zou Meta in het geheim meerdere afspraken hebben gehad met de Ierse toezichthouder over het omzeilen van de AVG. Op basis van die gesprekken zou Meta vervolgens de wijziging van de gebruikersvoorwaarden hebben doorgevoerd, maar de DPC ontkent deze afspraken.

Het Oostenrijkse hooggerechtshof besloot de meest belangrijke vragen voor te leggen aan het Europees Hof. Deze zaak loopt nog steeds, wat betekent dat ook de hoogste Europese rechter (vermoedelijk dit jaar) nog een beoordeling zal publiceren.

Onenigheid Europese toezichthouders

Na de uiteindelijke afronding van het onderzoek door de DPC stelde het een conceptbesluit op ten aanzien van de NOYB-klacht. Omdat het besluit impact heeft op Europese burgers in meerdere lidstaten, is de Ierse toezichthouder in het one-stop-shopsysteem eraan gehouden om het conceptbesluit naar de overige Europese toezichthouders te sturen. Zij kunnen het conceptbesluit dan beoordelen en eventueel hun bezwaren delen.

NOYB wist hand te leggen op het conceptbesluit en publiceerde deze (met weerstand) op hun website. Hieruit bleek dat de DPC zelf geen problemen zag in het gebruiken van de gebruikersvoorwaarden als grondslag door Meta. Wel zou de informatievoorziening onvoldoende zijn geweest en daarvoor zou Meta een boete krijgen van 36 miljoen euro.

De overige Europese privacytoezichthouders waren het daarentegen op meerdere vlakken oneens met de lezing van de DPC en zo ontstond er onderling een discussie. Uiteindelijk hielden tien Europese toezichthouders (waaronder de Autoriteit Persoonsgegevens) voet bij stuk. Daarom moest de Europese koepel van toezichthouders (EDPB) met een bindend besluit het oordeel vellen.

Bindend EDPB-besluit

Op 4 januari 2023 kondigde de DPC ten slotte aan een finaal besluit te hebben genomen op basis van het bindende besluit van de EDPB. Inmiddels zijn de besluiten van beide instanties openbaar. In het besluit van de EDPB staan met name de bezwaren van de overige Europese toezichthouders centraal, maar wordt ook ingegaan op de drie knelpunten die door de DPC zijn vastgesteld in het conceptbesluit:

1. Of het klikken op de ‘’accepteer’’-knop bij de gebruikersvoorwaarden moet worden gezien als toestemming in de zin van de AVG;
2. Of Meta gebruik kan maken de grondslag noodzakelijk voor de uitvoering van de overeenkomst voor het verwerken van de gebruikersgegevens;
3. Of Meta de voldoende en transparant informatie beschikbaar heeft gesteld over het gebruik van de grondslag noodzakelijk voor de uitvoering van de overeenkomst.

Ten aanzien van het eerste punt oordeelt de EDPB dat het te weinig informatie heeft om te kunnen concluderen dat het hier gaat om toestemming. Wel tikt het de DPC op de vingers dat het zelf met summier onderzoek heeft geconcludeerd dat het hier niet om toestemming zou moeten gaan.

Op het tweede punt is de EDPB daarentegen wel vrij duidelijk: Meta kan geen beroep doen op het feit dat het noodzakelijk is om de persoonsgegevens te verwerken voor het uitvoeren van de overeenkomst. Met name het verwerken van de gegevens voor marketingdoeleinden, zoals gepersonaliseerd adverteren, sluit niet aan bij de verwachting van platformgebruikers. Daarnaast zou Meta ook andere, minder ingrijpende manieren kunnen inzetten om te adverteren (zoals contextual advertising).

Op het derde en laatste punt was de DPC zelf ook al kritisch in het conceptbesluit. De EDPB heeft hier dan ook geen opvallend besluit genomen.

Wat wél opvalt, is dat in het finale besluit de Ierse toezichthouder niet heeft gekozen voor een herziening maar voor aanvullingen op het conceptbesluit. Zo staan de originele overwegingen er nog in, aangevuld met geplakte overwegingen van de EDPB en afgesloten met de vermelding dat zij verplicht zijn door de EDPB om een ander besluit te nemen.

Hoe nu verder (met jouw verwerkingen)?

Op basis van het besluit van de EDPB is de DPC uiteindelijk tot een verhoogde boete gekomen: 210 miljoen voor Facebook en 180 miljoen voor Instagram. Verder heeft de EDPB ook bepaald dat Meta 3 maanden heeft om haar verwerkingen in lijn te brengen met de AVG. Het is dus wachten wat Meta de komende tijd zal gaan doen, aangezien er ook nog de mogelijkheid bestaat om in beroep te gaan tegen het finale besluit.

Daarnaast heeft DPC aangekondigd de EDPB aan te klagen omdat zij te ver zou zijn gegaan in haar bevoegdheden, liggen er (zoals eerder besproken) nog zaken voor bij het Europees Hof én vindt NOYB dat de boete niet in verhouding staat tot de inkomsten van Meta. Kortom: het laatste woord is hier nog niet over gesproken.

Tot slot laat dit besluit zien dat de EDBP streng kijkt naar het verwerken van persoonsgegevens voor marketingdoeleinden op de grondslag noodzakelijk voor het uitvoeren van een overeenkomst. Je kunt niet onderbouwen dat gebruikers verwachten dat je hun gegevens voor marketingdoeleinden gebruikt door dit simpelweg op te nemen in gebruikersvoorwaarden. De verwerking moet dan écht noodzakelijk zijn voor de kern van de overeenkomst. Daarnaast is het belangrijk om transparant te zijn over de verwerkingen die jouw organisatie doet (voor welke doeleinden en op welke grondslagen). Maakt jouw organisatie bijvoorbeeld gebruik van een inlogomgeving (denk aan een webshop)? Check dan nog eens goed welke grondslagen jullie gebruiken voor het verwerken van de persoonsgegevens én hoe jullie hierover informeren.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Romar van der Leij

Voormalig Legal counsel | DDMA