We wisten dat het er aan kwam, maar het was wachten op de concrete beslissing en cijfers. 390 miljoen euro boete dus voor Meta door privacy inbreuken via Facebook en Instagram.
Je kan dit gemakkelijk wegzetten als een zoveelste incident in de strijd van Europa tegen de bigtech. Het gevaar bestaat dan dat je zou voorbijgaan aan de onderliggende GDPR-mechanismen, die wel degelijk bijzonder relevant zijn voor elke ondernemer!
Tijd dus om (weer) even stil te staan bij 2 basisprincipes voor dataverwerking: transparantie en de juiste rechtsgrond!
Waarover ging de Ierse zaak?
Van klacht, over onderzoek, tot finale beslissing: het heeft meer dan 4 jaar geduurd. Behoorlijk complex dus, maar de inzet was ook groot. De essentie geven we hier even weer.
Opvallende wijziging: een “andere” rechtsgrond
Naar aanleiding van de inwerkingtreding van de GDPR had Meta in 2018 de Terms of Service (een soort van “gebruiksvoorwaarden”) voor haar Facebook- en Instagram-diensten gewijzigd. Opvallend daarbij is dat het daarin de rechtsgrond wijzigde waarop het zich baseert om zijn verwerking van persoonsgegevens van gebruikers te legitimeren. Volgens artikel 6 van de GDPR is gegevensverwerking immers alleen rechtmatig als zij voldoet aan één van de zes vastgestelde rechtsgronden.
In het verleden had Meta zich steeds gebaseerd op de toestemming van gebruikers voor de verwerking van hun persoonsgegevens, en dit in het kader van de levering van de diensten van Facebook en Instagram (met inbegrip van behavioural advertising). Nu probeerde het voor de meeste verwerkingen een beroep te doen op de rechtsgrond “uitvoering van de overeenkomst“.
Aan bestaande (en nieuwe) gebruikers werd gevraagd op “Ik accepteer” te klikken om aan te geven dat zij de bijgewerkte servicevoorwaarden aanvaarden. Weiger je dit, dan zouden de diensten niet toegankelijk zijn. Dit nieuwe “contract” wordt dus een beetje “door de strot geduwd”.
De klacht: een “geforceerde” toestemming.
Twee klagers argumenteerden dat Meta zich eigenlijk nog steeds wilde beroepen op toestemming als rechtsgrond voor de verwerking van gebruikersgegevens.
Zij haalden daarbij aan dat Meta, door de toegankelijkheid van zijn diensten afhankelijk te stellen van de aanvaarding door de gebruikers van de bijgewerkte servicevoorwaarden, hen in feite “dwong” in te stemmen met de verwerking van hun persoonsgegevens voor behavioural advertising en andere gepersonaliseerde diensten. De klagers stelden dat dit in strijd was met de GDPR.
Het eerste standpunt van de Ierse toezichthouder
Naar aanleiding van haar onderzoek probeerde de Ierse toezichthouder een Salomonsoordeel te vellen:
Enerzijds was zij van oordeel dat Meta onvoldoende transparant was door informatie over de gekozen rechtsgrond niet duidelijk aan de gebruikers mee te delen. Hierdoor hadden de gebruikers onvoldoende duidelijkheid over welke verwerkingen van hun persoonsgegevens werden verricht, voor welk doel of welke doelen, en op basis van welke van de zes in de GDPR genoemde rechtsgronden.
Niet enkel was dit een inbreuk op de transparantie vereisten uit de GDPR, maar eveneens op de basisbeginselen voor een gegevensverwerking.
Anderzijds was de Ierse toezichthouder van mening dat Meta zich wel degelijk kon beroepen op de rechtsgrond van de “uitvoering van een contract”, en dat de klagers dus geen punt moesten maken dat hun toestemming afgedwongen was.
De vingerwijzing van de EDPB
De impact van de zaak maakte het noodzakelijk dat de andere Europese toezichthouders betrokken werden in de beslissing. Een substantieel deel van hen was het echter niet eens met de ontwerp-beslissing van de Ierse toezichthouder. Omdat geen akkoord kon gevonden worden, kwam de zaak op de agenda van de European Data Protection Board.
De EPDB heeft de knoop doorgehakt door een bindende beslissing waarin ze de Ierse toezichthouder oplegde om haar beslissing gedeeltelijk te herzien.
De EDPB bevestigt wel in grote lijnen de schending door Meta van haar transparantieverplichtingen. Over de “rechtsgrond” nam de EDPB echter een ander standpunt in. Zij oordeelde dat Meta zich in beginsel niet kon beroepen op de rechtsgrond “overeenkomst” als rechtsgrond voor de verwerking van persoonsgegevens voor reclame op basis van surfgedrag.
Transparantie over een rechtsgeldige verwerking: de hoeksteen van de GDPR
Transparantie
Als er iets is wat je moet doen om de persoonsgegevens van individuen te beschermen, dan is het wel transparantie bieden over wat je met die gegevens doet. De betrokkene zelf moet kunnen nagaan welke gegevens van hem of haar verzameld worden, voor welke doeleinden ze verzameld worden en wat er verder mee gebeurt.
De GDPR legt de verwerkingsverantwoordelijke op om betrokkenen zowel transparante informatie als transparante communicatie te bieden.
Een ideale communicatievorm is een privacyverklaring. Goedkope templates en haastig copy/paste werk gaan de toets van een goede privacyverklaring echter niet kunnen weerstaan. De leidraad blijft “zeg wat je doet” en “doe wat je zegt”. Dit is bovendien een evoluerend gegeven waardoor je regelmatig intern de adequaatheid van je privacyverklaring gaat moeten aftoetsen. Bovendien is dit geen “check the box” oefening en moet jouw privacyverklaring écht transparant zijn.
Probeer je dergelijke informatie echter over te maken in algemene voorwaarden of gebruiksvoorwaarden, dan loop je al snel het risico om niet te voldoen aan deze vereisten van transparantie. De informatie die nodig is voor het datasubject om de impact op zijn of haar privacy te kunnen inschatten, wordt dan immers al gauw bedolven onder honderd-en-één andere juridische zaken en afspraken.
Rechtsgeldig: een juiste rechtsgrond
Een verwerking is enkel rechtmatig indien die gefundeerd is op een verwerkingsgrond. Ken je ze nog? Voor meer details kan je altijd eens terug gaan spieken naar onze blog hierover.
Steeds opnieuw stellen we vast dat ondernemers grijpen naar “toestemming” als ideale verwerkingsgrond. Toestemming lijkt inderdaad een mooie verwerkingsgrond. Hou er echter wel rekening mee dat je deze toestemming moet kunnen bewijzen, en dat bij intrekking van de toestemming, de rechtmatigheid van je verwerking ook meteen in het gedrang komt!
Bovendien moet de toestemming vrij, geïnformeerd, specifiek en ondubbelzinnig zijn. Niet zo eenvoudig!
De “noodzaak voor de uitvoering van een overeenkomst” is natuurlijk een andere logische rechtsgrond. Deze verwerkingsgrond moet je echter strikt toepassen, want het maakt enkel de verwerking geldig van de persoonsgegevens die echt noodzakelijk zijn voor de normale uitvoering van de overeenkomst. Dit zal afhangen van overeenkomst tot overeenkomst.
Inmiddels weten we al geruime tijd dat bij onduidelijkheid en twijfel, bijna steeds beslist wordt in het voordeel van het datasubject. Volgens de EDPB is het dan ook zo dat een datasubject, dat een overeenkomst aangaat met Meta voor het gebruik van Facebook of Instagram, niet meteen kan of moet verwachten dat hierdoor automatisch persoonsgegevens zullen gebruikt worden voor behavioural advertising. Evenmin is het zo dat het verwerken van dergelijke gegevens voor die doeleinden, strikt noodzakelijk zou zijn voor de uitvoering van de overeenkomst. Ook al denkt Meta daar anders over, het is immers perfect mogelijk om een overeenkomst uit te voeren waarbij men toegang verleent tot een social media platform, zonder aan behavioural advertising te doen – ook al zou dit kunnen betekenen dat het economisch een minder interessant verhaal wordt, of dat het platform (gedeeltelijk) betalend zou moeten worden.
Regen voor Meta, druppels voor de kleine Europese ondernemer?
Uit de motiveringen van de beslissingen zou het duidelijk moeten zijn: de Europese toezichthouders trekken consequent de kaart van het datasubject, en verdedigen principieel het recht op transparantie en de noodzaak van een geldige rechtsgrond.
Deze mediatieke casus heeft geleid tot een mega-Meta-boete (de zoveelste) maar het zou naïef zijn te veronderstellen dat de beslissing inhoudelijk anders zou zijn bij een andere speler. We adviseren onze klanten dan ook steeds om voldoende belang te hechten aan transparantie door middel van een heldere privacyverklaring, én om te weerstaan aan de verleiding om geldige rechtsgronden té creatief te gaan interpreteren.
Conclusie
GDPR compliance is een moeilijk traject, dat bovendien wel een begin kent, maar geen einde. Is dit om ontmoedigd te geraken? Wij vinden van niet. De basisbeginselen zijn niet zo complex, en met de juiste insteek (“wat is de redelijke verwachting van het datasubject” – versus “wat zou ik zelf het liefst doen”) kom je al heel ver.
Wanneer we aanvaarden dat gegevensverwerkingen best wel ok zijn, maar dat we daarvoor dan wel op een niet-geforceerde manier beroep moeten doen op een juiste rechtsgrond, én bovendien daar heel transparant over communiceren, dan zit je op het juiste pad.
Heb je toch wat hulp nodig van ervaren gidsen? Aarzel dan niet en contacteer onze experten vrijblijvend via hallo@dejuristen.be.
Geschreven Kris Seyen, Partner deJuristen