In de uitspraak van vandaag in C-446/21 (Schrems v. Meta) heeft het Hof van Justitie van de Europese Unie (HvJEU) zich volledig geschaard achter een rechtszaak die was aangespannen tegen Meta over haar Facebook-dienst. Het Hof besliste over twee vragen: Ten eerste, het massaal beperken van het gebruik van persoonlijke gegevens voor online advertenties. Ten tweede, het beperken van het gebruik van openbaar beschikbare persoonlijke gegevens tot de oorspronkelijk bedoelde doeleinden voor publicatie.
- Persbericht van het HvJEU
- Volledige uitspraak
- Samenvatting van de uitspraak op GDPRhub
Katharina Raabe-Stuppnig, advocaat van de heer Schrems:"We zijn erg blij met de uitspraak, ook al was dit resultaat erg verwacht."
Eerste vraag: Gebruik van gegevens voor reclame moet "geminimaliseerd" worden. Tot nu toe gebruikt Meta alle persoonlijke gegevens die het ooit heeft verzameld voor reclame. Gebruikersgegevens van Facebook kunnen bijvoorbeeld teruggaan tot 2004 en gegevens bevatten die zijn ingevoerd door de gebruiker, door andere gebruikers of gegevens die zijn verzameld via online tracking of tracking op mobiele apps. Om dergelijke praktijken te voorkomen, heeft de GDPR het principe van "gegevensminimalisatie" vastgelegd in artikel 5(1)(c) GDPR, dat vereist dat de verwerking wordt beperkt tot strikt noodzakelijke gegevens. Tot nu toe hebben Meta en veel andere spelers in de online advertentieruimte deze regel eenvoudigweg genegeerd en niet voorzien in verwijderingsperioden of beperkingen op basis van het type persoonlijke gegevens. De toepassing van het 'dataminimalisatieprincipe' beperkt het gebruik van persoonlijke gegevens voor reclame radicaal. Het beginsel van gegevensminimalisatie is van toepassing ongeacht de rechtsgrondslag die voor de verwerking is gebruikt, dus zelfs een gebruiker die toestemming geeft voor gepersonaliseerde reclame kan zijn persoonsgegevens niet onbeperkt laten gebruiken. In overeenstemming met de gebruikelijke praktijk van het HvJEU, liet het Hof de details over hoe het principe van gegevensminimalisatie moet worden geïmplementeerd over aan de nationale rechtbanken.
Katharina Raabe-Stuppnig: "Meta is in feite al 20 jaar bezig met het opbouwen van een enorme gegevensbank over gebruikers, en die wordt elke dag groter. De EU-wetgeving vereist echter 'dataminimalisatie'. Na deze uitspraak mag slechts een klein deel van Meta's datapool worden gebruikt voor advertenties - zelfs als gebruikers toestemming geven voor advertenties. Deze uitspraak geldt ook voor andere online advertentiebedrijven die geen strenge regels hanteren voor het verwijderen van gegevens."
Tweede vraag: Openlijke kritiek staat verwerking niet toe. Volgens artikel 9, lid 2, onder e) GDPR mag informatie die "kennelijk openbaar is gemaakt" door een bedrijf worden verwerkt, omdat de wetgever ervan uitgaat dat de betrokkene heeft ingestemd met het gebruik. De heer Schrems voerde aan dat zijn openbare opmerkingen werden gemaakt jaren nadat de verwerking van andere informatie had plaatsgevonden. Zijn latere opmerkingen kunnen niet worden gezien als een instemming met de verwerking van andere informatie jaren geleden en kunnen niet terug in de tijd zijn "gereisd". Andere partijen bij de procedure vroegen zich ook af of de loutere vermelding van een feit tijdens een openbare discussie zou neerkomen op het "kennelijk openbaar" maken van dergelijke informatie.
Katharina Raabe-Stuppnig: "Het zou een enorm chilling effect hebben op de vrijheid van meningsuiting, als je je recht op gegevensbescherming zou verliezen op het moment dat je in het openbaar kritiek uit op onrechtmatige verwerking van persoonsgegevens. We zijn blij dat het HvJEU dit idee heeft verworpen."
Achtergrond:
Voorgeschiedenis van de zaak. De zaak betreft een civiele procedure tussen Max Schrems, als individu, en Meta Ireland Platforms Limited (als de exploitant van "Facebook") voor de Oostenrijkse rechtbanken. De zaak werd voor het eerst ingediend in 2014 en voor het eerst volledig behandeld in Oostenrijk in 2020 en betreft een groot aantal GDPR-schendingen, waaronder het ontbreken van een rechtsgrondslag voor reclame en dergelijke. Het Oostenrijkse Hooggerechtshof heeft vier vragen voorgelegd aan het HvJEU in 2021. Maar omdat een andere zaak (C-252/21 Bundeskartellamt) deels over vergelijkbare vragen ging, heeft het HvJEU de zaak tussen Schrems en Meta "gepauzeerd" tot 2024. De oorspronkelijke vragen 1 en 3 werden (indirect) "gewonnen" omdat het HvJEU in C-252/21 Bundeskartellamt de kant van Schrems koos. De rest van de zaak werd vervolgens behandeld in Luxemburg op 8 februari 2024, maar beperkt tot twee resterende vragen (oorspronkelijke vragen 2 en 4) waarover nog niet was beslist in C-252/21 Bundeskartellamt. De resterende vragen waren
- Oorspronkelijke vraag 2: "Moet artikel 5, lid 1, sub c, GDPR (gegevensminimalisatie) aldus worden uitgelegd dat alle persoonsgegevens in het bezit van een platform zoals dat in het hoofdgeding (van met name de betrokkene of derden op en buiten het platform) mogen worden samengevoegd, geanalyseerd en verwerkt met het oog op gerichte reclame, zonder beperking qua tijdstip of soort gegevens?"
- Oorspronkelijke vraag 4: "Moet artikel 5, lid 1, onder b), GDPR, gelezen in samenhang met artikel 9, lid 2, onder e), GDPR, aldus worden uitgelegd dat een verklaring van een persoon over zijn of haar eigen seksuele geaardheid ten behoeve van een paneldiscussie de verwerking van andere gegevens over seksuele geaardheid toestaat met het oog op het samenvoegen en analyseren van de gegevens ten behoeve van gepersonaliseerde reclame?"
Gegevensminimalisatie. De oorspronkelijke vraag 2 heeft betrekking op de aanpak van Meta om te beweren dat alle persoonlijke gegevens in wezen in een grote "datapool" gaan en voor onbepaalde tijd - zonder enige beperking - kunnen worden gebruikt voor persoonlijke reclame, aangezien dit een duidelijke schending van het beginsel van gegevensminimalisering lijkt te zijn. Terwijl er in sommige gevallen een duidelijke limiet is voor het verwijderen van gegevens (bijvoorbeeld wanneer een wettelijke verplichting om gegevens te bewaren eindigt), is de kwestie complexer als het gaat om reclame. Bedrijven moeten protocollen voor gegevensbeheer ontwikkelen om onnodige gegevens geleidelijk te verwijderen of het gebruik ervan stop te zetten
Verder gebruik van gevoelige gegevens. Oorspronkelijke vraag 4 betreft een argument van het Gerecht van eerste aanleg (en deels van Meta) dat de heer Schrems zijn seksuele geaardheid noemde tijdens een evenement in Wenen en daarom mogelijk (impliciet) toestemming heeft gegeven voor de verwerking van persoonsgegevens met betrekking tot seksuele geaardheid (en zelfs seksleven, dat afzonderlijk wordt beschermd in artikel 9 GDPR) voor reclame die jaren voor de openbare verklaring plaatsvond. Men is het erover eens dat deze verklaringen openbaar zijn gemaakt. De heer Schrems ontkent echter dat Meta daarom andere - zeer persoonlijke - gegevens kan hebben verwerkt in de jaren daarvoor. De heer Schrems benadrukt dat het beginsel van "doelbinding" parallel van toepassing is en dat informatie die wordt gedeeld om kritiek te leveren op onrechtmatige verwerking door Meta niet (met terugwerkende kracht) het gebruik van persoonsgegevens voor een heel ander doel, zoals reclame, kan toestaan.