BREAKING: Meta (Facebook en Instagram) verboden om persoonsgegevens te gebruiken voor advertenties. Grote klap voor Meta's businessmodel in Europa, na noyb-rechtszaak . Boete voor Meta meer dan vertienvoudigd van € 32 naar 390 Mio. Derde zaak over WhatsApp in behandeling.
Zoals bevestigd door de Ierse DPC, heeft de European Data Protection Board (EDPB) de omzeiling van de GDPR door Meta op basis van noyb-klachten tegen Facebook en Instagram afgewezen. Het is Meta nu verboden om de GDPR te omzeilen via een clausule in de voorwaarden. Meta moet "opt-in" toestemming krijgen voor gepersonaliseerde advertenties en moet gebruikers een "ja/nee" optie bieden. De beslissing over een derde parallelle zaak over WhatsApp is uitgesteld tot half januari.
- Uitlegvideo over de bypass van Meta (van december 2022)
- Originele klachten van noyb uit 2018
- Eerdere berichtgeving over eerste informatie over de EDPB-beschikking (Reuters)
Belangrijkste feiten:
- Twee klachten ingediend door noyb namens een Oostenrijkse en Belgische gebruiker op 25 mei 2018 (de dag dat de GDPR van toepassing werd) zijn vandaag beslist.
- Een derde klacht over WhatsApp namens een Duitse gebruiker werd uitgesteld tot half januari, aldus een e-mail van de DPC.
- Meta probeerde het toestemmingsvereiste in de GDPR te "omzeilen" door een clausule toe te voegen aan de voorwaarden voor advertenties.
- In december 2022 vernietigde de EDPB een eerder ontwerpbesluit van de Ierse DPC dat van mening was dat Meta's omzeiling van de GDPR legaal was.
- Volgens de definitieve beslissing mag Meta geen persoonsgegevens gebruiken voor advertenties op basis van een vermeend "contract". Gebruikers moeten daarom een ja/nee ("opt-in") toestemming krijgen, anders mag Meta hun gegevens niet gebruiken voor gepersonaliseerde advertenties.
- De beschikking verbiedt geen andere vormen van reclame (zoals contextuele advertenties, gebaseerd op de inhoud van een pagina).
- Naast de vaststelling dat Meta's gebruik van persoonsgegevens sinds mei 2018 illegaal was.
- De boete voor Facebook en Instragram bedraagt in totaal 380 miljoen euro. Een extra boete voor WhatsApp in de parallelle procedure is te verwachten.
Meta wilde de GDPR "omzeilen". De GDPR staat zes rechtsgrondslagen toe om gegevens te verwerken, een daarvan is toestemming op grond van artikel 6, lid 1, onder a). Meta probeerde het toestemmingsvereiste voor tracking en online reclame te omzeilen door aan te voeren dat advertenties deel uitmaken van de "dienst" die zij contractueel aan de gebruikers verschuldigd is. De vermeende omschakeling van de rechtsgrondslag gebeurde precies op 25 mei 2018 om middernacht, toen de GDPR in werking trad. De zogenaamde "contractuele noodzaak" krachtens artikel 6, lid 1, onder b), wordt doorgaans eng opgevat en zou bijvoorbeeld toestaan dat een online winkel het adres doorstuurt naar een postdienst, omdat dit strikt noodzakelijk is om een bestelling te bezorgen. Meta was echter van mening dat het gewoon willekeurige elementen aan de overeenkomst kon toevoegen (zoals gepersonaliseerde reclame), om een ja/nee toestemmingsoptie voor gebruikers te vermijden.
Max Schrems:"In plaats van een 'ja/nee' optie voor gepersonaliseerde advertenties, hebben ze gewoon de toestemmingsclausule in de algemene voorwaarden verplaatst. Dit is niet alleen oneerlijk maar ook duidelijk illegaal. We kennen geen enkel ander bedrijf dat de GDPR op zo'n arrogante manier probeert te negeren."
380 miljoen euro aan boetes, wilde DPC 28 tot 36 miljoen. Naast een algehele stop van gepersonaliseerde advertenties heeft de EDPB aangedrongen op een enorme boete voor Meta. Het bedrijf heeft immers de meeste commerciële gegevensverwerking gebaseerd op een opzettelijke schending van de wet. De EDPB heeft hierover in 2019 al richtsnoeren uitgevaardigd. Meta is al eerder in andere zaken getroffen met meer dan 900 miljoen euro aan GDPR-boetes. De boete gaat naar de Ierse staat, niet naar de klager, noyb of de EDPB. De DPC heeft eerder in een ontwerpbeschikking € 28 tot 36 miljoen gevraagd, slechts 10% van de nu definitieve EDPB-uitspraak.
Max Schrems: "De boete gaat naar Ierland - de staat die de kant van Meta heeft gekozen en de handhaving meer dan vier jaar heeft uitgesteld. Tegen deze zaak zal Meta waarschijnlijk in beroep gaan, wat leidt tot meer kosten voor noyb."
DPC en Meta werkten samen en werden door EDPB overruled. In de loop van de procedure heeft Meta zich beroepen op tien vertrouwelijke bijeenkomsten met de Ierse DPC waarin de DPC Meta heeft toegestaan deze "bypass" te gebruiken. Later bleek dat de DPC zelfs heeft geprobeerd om in het belang van Meta relevante EDPB-richtsnoeren te beïnvloeden. Niettemin hebben de andere Europese DPA's het standpunt van de DPC intern in 2018, in Richtsnoeren in 2019 en opnieuw in het definitieve EDPB-besluit in december 2022 verworpen. De zaak escaleerde tot 4,5 jaar met honderden pagina's aan rapporten en stukken, ondanks dat de zaak over een vrij eenvoudige juridische vraag ging.
Max Schrems:"Deze zaak gaat over een eenvoudige rechtsvraag. Meta beweert dat de 'bypass' gebeurde met de zegen van de DPC. De DPC heeft jarenlang de procedure uitgesteld en erop aangedrongen dat Meta de GDPR mag omzeilen, maar werd nu overruled door de andere EU-autoriteiten. Het is al met al de vierde keer op rij dat de Ierse DPC overruled werd."
DPC ziet overwinning op "transparantie" kwestie? In de mediaverklaring van de DPC wordt de kernvraag of Meta gebruikersgegevens mag gebruiken voor advertenties, begraven in een kleiner debat over transparantie, waarin de DPC een inbreuk vaststelt.
"Het is nogal pathetisch dat de DPC nu beweert dat andere autoriteiten het eens waren over een kleine transparantiekwestie, waarvoor alleen maar wat tekst op de website van Meta hoefde te worden aangepast. De kern van de zaak was dat Meta meer dan vier jaar lang illegaal gebruikersgegevens verwerkte, de DPC schermde Meta af en ze werden op EU-niveau weggestemd."
Gevolg: geen gepersonaliseerde advertenties, minder winst. Het besluit betekent dat Meta binnen drie maanden gebruikers een versie van alle apps moet toestaan die geen persoonsgegevens gebruikt voor advertenties. Volgens het besluit mag Meta nog steeds niet-persoonlijke gegevens (zoals de inhoud van een verhaal) gebruiken om advertenties te personaliseren of gebruikers via een 'ja/nee'-optie om toestemming voor advertenties vragen. Gebruikers moeten hun toestemming te allen tijde kunnen intrekken en Meta mag de dienst niet beperken als gebruikers daarvoor kiezen. Hoewel dit de winst van Meta in de EU drastisch zal beperken, zou het advertenties niet volledig verbieden. In plaats daarvan zal het besluit Meta op hetzelfde niveau plaatsen als andere websites of apps, die gebruikers een 'ja/nee'-optie moeten bieden.
Max Schrems:"Dit is een enorme klap voor de winsten van Meta in de EU. Mensen moet nu worden gevraagd of ze willen dat hun gegevens worden gebruikt voor advertenties of niet. Ze moeten een 'ja of nee'-optie hebben en kunnen op elk moment van gedachten veranderen. Het besluit zorgt ook voor een gelijk speelveld met andere adverteerders die ook opt-in toestemming moeten krijgen."
DPC censureert besluit van klager en publiek, waardoor Meta en DPC het mediaverhaal beheersen. In een verbazingwekkende zet liet het DPC vandaag aan noyb weten dat het, ondanks dat het een van de twee partijen in de procedure is, het besluit niet aan noyb zal vrijgeven. Het DPC noemde plotseling vermeende "vertrouwelijkheid" van de beslissing als reden. De beslissing moet in een later stadium aan de eiser worden vrijgegeven - mogelijk zelfs nadat de duur van een eventueel beroep is verstreken. Dit is in strijd met eerdere informatie van het DPC dat de partijen de beslissing vóór eventuele publicaties van het DPC zouden ontvangen.
Max Schrems:"Dat de EDPB de zaak terugdraait, is een grote klap voor het DPC. In tien jaar procederen heb ik nog nooit meegemaakt dat een uitspraak alleen aan de ene partij wordt gedaan, maar niet aan de andere. De DPC speelt een zeer duivels public relations spelletje. Door noyb of het publiek niet toe te staan de beslissing te lezen, probeert het samen met Meta het verhaal van de beslissing vorm te geven. Het lijkt erop dat de samenwerking tussen Meta en de Ierse toezichthouder springlevend is - ondanks de overruled door de EDPB."
Volgende stappen: DPC klaagt EDPB aan, Meta gaat waarschijnlijk in beroep. Meta zal naar verwachting in beroep gaan bij de Ierse rechter, maar de kans dat een dergelijk beroep wordt gewonnen is minimaal na een bindende uitspraak van de EDPB. Bij het Hof van Justitie van de EU lopen ook twee soortgelijke zaken over de toestemmingsomleiding van Meta, die de kwestie en alle beroepen voorgoed kunnen beslechten. In een zijverhaal kondigde de DPC ook aan dat zij de EDPB kan aanklagen in verband met een aantal kwesties, aangezien de EDPB van de DPC eiste dat zij verdere onderzoeksmaatregelen zou nemen ten aanzien van Meta, naast de klachten waarover de NOYB heeft beslist. De DPC is van mening dat de EDPB deze bevoegdheden niet heeft en zal proberen deze beslissing nietig te laten verklaren. De gebruikers kunnen dan ook actie ondernemen over het illegale gebruik van hun gegevens in de afgelopen 4,5 jaar.