Spring naar content

De situatie: gebruik van third-party data zonder toestemming

Max Schrems heeft tijdens een openbaar panelgesprek opmerkingen gemaakt over zijn seksuele geaardheid, wat volgens de AVG gevoelige gegevens zijn. Vervolgens werd deze informatie gebruikt om hem gepersonaliseerde reclame op Facebook te tonen, terwijl hij hierover niets had gedeeld op dat platform zelf. Meta heeft dus gebruik gemaakt van third party-data voor de reclame. Schrems heeft hiervoor geen toestemming gegeven, maar Meta baseerde de verwerking op de algemene voorwaarden van Facebook. Volgens Schrems heeft Meta dit niet mogen doen, aangezien ze niet voldeden aan de strenge vereisten voor de verwerking van deze gevoelige gegevens.

Openbare informatie leidt niet tot algemene toestemming

Het Hof van Justitie van de EU bekeek de zaak naar aanleiding van vragen van de nationale rechter. De vraag is of er een geldige grondslag was voor de verwerking. Zelfs wanneer de informatie kennelijk openbaar blijkt te zijn gemaakt (tijdens het panelgesprek), impliceert dit geen algemene toestemming voor de verwerking ervan. De informatie mag alleen voor strikt noodzakelijke doeleinden worden gebruikt. Vanwege het beginsel van dataminimalisatie mogen de gegevens niet onbeperkt lang en zonder te letten op het type gegevens worden verwerkt.

Er was dan ook een andere grondslag (dan kennelijke openbaarmaking) nodig voor deze verwerking. Van expliciete toestemming was ook geen sprake, aangezien Schrems de informatie helemaal niet had gedeeld met Facebook. Informatie kan van derden via tracking cookies, sociale plug-ins en pixels verzameld worden, maar hiervoor heeft hij geen toestemming gegeven.

Het Hof kwam tot de conclusie dat het op deze manier gebruiken door Facebook, van de door Schrems – buiten het platform om – gedeelde, gevoelige informatie, niet is toegestaan.

Takeaways

Het besluit van het Hof legt een aantal duidelijke learnings bloot. Wat kun je hieruit meenemen voor jouw eigen (gepersonaliseerde) marketingcampagnes?

  • Let op wat voor soort gegevens je verwerkt. Zijn deze gevoelig (bijvoorbeeld seksuele geaardheid, medische gegevens, politieke voorkeur)? Dan gelden er strengere vereisten en zul je vaak expliciete toestemming nodig hebben om deze gegevens te mogen verwerken.
  • Gebruik niet zomaar third party-data voor het tonen van (gepersonaliseerde) advertenties. Zelfs als de informatie openbaar is gedeeld, levert dit niet automatisch een grondslag voor jouw verwerking op. Zorg voor een geldige grondslag.
  • Vergeet de beginselen van de AVG niet. In deze zaak speelden met name dataminimalisatie (verwerk niet meer gegevens dan noodzakelijk) en doelbinding (verzamel persoonsgegevens alleen voor een duidelijk omschreven en gerechtvaardigd doel) een belangrijke rol.

Kim Moolenaar

Assistent Legal Counsel

Ook interessant

Lees meer
AI Act |

Europese Commissie publiceert concept van ‘code of practice’ voor gebruik LLM’s

De Europese Commissie heeft op 14 november de eerste conceptversie van de Code of Practice voor General Purpose AI modellen (Code) gepubliceerd. De Code moet straks meer invulling geven aan…
Lees meer
AI Act |

Nieuwe marketinggids Responsible AI voor de verantwoorde inzet van AI in marketing

VIA Nederland, DDMA en bvA, drie brancheverenigingen in de marketingsector, hebben vandaag met trots de Marketinggids Responsible AI gepresenteerd. Deze gids, ontwikkeld als een ‘levende’ leidraad, biedt marketeers concrete richtlijnen…
Lees meer
AVG |

Belgische toezichthouder legt dwangsom op aan Mediahuis en RTL BE vanwege onduidelijk weergegeven weigerknop in cookiebanner

In 2023 kondigde de Belgische toezichthouder (GBA) aan cookies tot een prioriteit te maken, en die belofte is waargemaakt. In dit artikel bespreken we twee uitspraken naar aanleiding van klachten…