In deze editie van Uitspraken van de maand: een belangrijke stap in een collectieve privacyzaak tegen Oracle en Salesforce, een miljoenenboete van de CNIL voor het delen van klantdata met socialmediaplatforms en een opvallende schikking van TikTok in een zaak over de impact op jongeren.
1. Conclusie A-G in WAMCA-zaak tegen Oracle en Salesforce: TPC is ontvankelijk
In de collectieve privacyzaak van Stichting The Privacy Collective (TPC) tegen Oracle en Salesforce heeft de advocaat-generaal bij de Hoge Raad geconcludeerd dat TPC ontvankelijk is in haar vordering. De Hoge Raad moet nog uitspraak doen, die wordt in juni dit jaar verwacht.
De rechtbank had TPC eerder niet-ontvankelijk verklaard. Het gerechtshof draaide dat oordeel in hoger beroep terug. Volgens de A-G heeft het hof dat terecht gedaan. TPC voldoet volgens haar aan de eisen die de WAMCA stelt aan belangenorganisaties die namens een grote groep gedupeerden procederen.
De conclusie gaat dus niet over de inhoud van de privacyklachten zelf, maar puur over de vraag of TPC deze procedure mag voeren. Als de Hoge Raad de A-G volgt, kan de zaak inhoudelijk worden voortgezet. Daarmee bevestigt deze fase vooral dat collectieve privacyclaims tegen grote techbedrijven juridisch mogelijk zijn, mits aan de formele eisen is voldaan.
2. CNIL legt boete van € 3,5 miljoen op voor delen klantdata met social media voor gerichte advertenties
De Franse privacytoezichthouder CNIL heeft een boete van € 3,5 miljoen opgelegd aan een organisatie die persoonsgegevens van leden van een loyaliteitsprogramma doorgaf aan sociale-mediaplatforms voor gerichte advertenties.
De organisatie stelde dat zij hiervoor toestemming had. Die toestemming bleek echter te algemeen.
Bij inschrijving voor het loyaliteitsprogramma konden klanten akkoord gaan met het ontvangen van marketing per e-mail of sms. In de bijbehorende informatie werd niet duidelijk vermeld dat hun gegevens ook zouden worden gedeeld met sociale-mediaplatforms om daar gepersonaliseerde advertenties te tonen. Er werd dus geen specifieke toestemming gevraagd voor deze vorm van datadeling.
Volgens de CNIL is toestemming alleen geldig als die vrij, specifiek, geïnformeerd en ondubbelzinnig is. Toestemming voor “marketingcommunicatie” dekt niet automatisch het uploaden van klantgegevens naar een socialmediaplatform voor advertentiedoeleinden. Ook ontbrak duidelijke informatie over wie de gegevens precies ontving en voor welk concreet doel.
Voor organisaties die werken met customer match-achtige oplossingen of vergelijkbare advertentietools is dit een duidelijke waarschuwing: algemene marketingtoestemming is onvoldoende als gegevens extern worden gedeeld voor gerichte advertenties.
3. TikTok schikt privacy-gerelateerde claims voorafgaand aan proces
TikTok heeft in de Verenigde Staten geschikt in een procedure waarin werd gesteld dat het platform schadelijk en verslavend is voor jongeren. De schikking werd getroffen vlak voor de start van de rechtszaak. De inhoud van de regeling is niet openbaar gemaakt.
De zaak draait niet direct om gegevensbescherming, maar laat wel zien dat sociale-mediaplatforms steeds vaker juridisch worden aangesproken op hun ontwerpkeuzes en de impact daarvan op gebruikers, met name minderjarigen. Schikken kan in zo’n situatie een manier zijn om langdurige en mogelijk reputatieschadelijke procedures te vermijden.
Sara Mosch
Ook interessant
Uitspraken van de maand I februari
Update Reclamecode voor Voedingsmiddelen: wat verandert er voor jou als marketeer en creator?
