Zaak Meta en Schrems: Openbare data is geen vrijbrief voor gepersonaliseerde advertenties

De situatie: gebruik van third-party data zonder toestemming

Max Schrems heeft tijdens een openbaar panelgesprek opmerkingen gemaakt over zijn seksuele geaardheid, wat volgens de AVG gevoelige gegevens zijn. Vervolgens werd deze informatie gebruikt om hem gepersonaliseerde reclame op Facebook te tonen, terwijl hij hierover niets had gedeeld op dat platform zelf. Meta heeft dus gebruik gemaakt van third party-data voor de reclame. Schrems heeft hiervoor geen toestemming gegeven, maar Meta baseerde de verwerking op de algemene voorwaarden van Facebook. Volgens Schrems heeft Meta dit niet mogen doen, aangezien ze niet voldeden aan de strenge vereisten voor de verwerking van deze gevoelige gegevens.

Openbare informatie leidt niet tot algemene toestemming

Het Hof van Justitie van de EU bekeek de zaak naar aanleiding van vragen van de nationale rechter. De vraag is of er een geldige grondslag was voor de verwerking. Zelfs wanneer de informatie kennelijk openbaar blijkt te zijn gemaakt (tijdens het panelgesprek), impliceert dit geen algemene toestemming voor de verwerking ervan. De informatie mag alleen voor strikt noodzakelijke doeleinden worden gebruikt. Vanwege het beginsel van dataminimalisatie mogen de gegevens niet onbeperkt lang en zonder te letten op het type gegevens worden verwerkt.

Er was dan ook een andere grondslag (dan kennelijke openbaarmaking) nodig voor deze verwerking. Van expliciete toestemming was ook geen sprake, aangezien Schrems de informatie helemaal niet had gedeeld met Facebook. Informatie kan van derden via tracking cookies, sociale plug-ins en pixels verzameld worden, maar hiervoor heeft hij geen toestemming gegeven.

Het Hof kwam tot de conclusie dat het op deze manier gebruiken door Facebook, van de door Schrems – buiten het platform om – gedeelde, gevoelige informatie, niet is toegestaan.

Takeaways

Het besluit van het Hof legt een aantal duidelijke learnings bloot. Wat kun je hieruit meenemen voor jouw eigen (gepersonaliseerde) marketingcampagnes?

• Let op wat voor soort gegevens je verwerkt. Zijn deze gevoelig (bijvoorbeeld seksuele geaardheid, medische gegevens, politieke voorkeur)? Dan gelden er strengere vereisten en zul je vaak expliciete toestemming nodig hebben om deze gegevens te mogen verwerken.
• Gebruik niet zomaar third party-data voor het tonen van (gepersonaliseerde) advertenties. Zelfs als de informatie openbaar is gedeeld, levert dit niet automatisch een grondslag voor jouw verwerking op. Zorg voor een geldige grondslag.
• Vergeet de beginselen van de AVG niet. In deze zaak speelden met name dataminimalisatie (verwerk niet meer gegevens dan noodzakelijk) en doelbinding (verzamel persoonsgegevens alleen voor een duidelijk omschreven en gerechtvaardigd doel) een belangrijke rol.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Kim Moolenaar

Assistent Legal Counsel