Jouw overeenkomst met Facebook
De populariteit van het sociale media-platform Facebook loopt onder jongeren al enige tijd terug. Toch hebben velen van ons, van jong tot oud, nog een gebruikersaccount. Om deze online dienst aan te bieden, verwerkt Facebook onze persoonsgegevens. Maar op grond waarvan mag Facebook dat eigenlijk?
Facebook stelt dat het verwerken van persoonsgegevens nodig is voor de uitvoering van de overeenkomst die jij met haar aangaat. Zij doet hiermee beroep op een van de rechtsgronden om persoonsgegevens rechtmatig te kunnen verwerken, zoals limitatief opgesomd in artikel 6 van de Algemene verordening gegevensbescherming (AVG). De Ierse toezichthouder (DPC) heeft naar aanleiding van een klacht onderzocht of deze rechtsgrond zich wel leent voor de situatie van Facebook.
Achtergrond
Het begon allemaal bij het aanpassen van de servicevoorwaarden door Facebook in 2018. Gebruikers werden voor een keuze gesteld: niet langer gebruikmaken van het platform en het account verwijderen, of akkoord gaan met de bijgewerkte servicevoorwaarden. Naar aanleiding hiervan is een klacht ingediend bij de DPC. Facebook is in Ierland gevestigd en daarmee is de DPC de bevoegde toezichthouder voor het behandelen van deze klacht.
De klager ziet het accepteren van de servicevoorwaarden als een verkapte vorm van vragen om toestemming voor het verwerken van persoonsgegevens. Toestemming is namelijk een van de andere mogelijke rechtsgronden (artikel 6, lid 1, sub a, AVG). Voor rechtsgeldige toestemming dient de gebruiker in staat te zijn om toestemming vrijelijk en op basis van voldoende informatie te geven, specifiek voor bepaalde doeleinden en met een ondubbelzinnige actieve handeling (artikel 4, aanhef onder 11, AVG). Volgens de klager is hiervan geen sprake, bijvoorbeeld door de 'take it or leave it'-aanpak van Facebook.
De DPC heeft zich over de klacht gebogen en een ontwerpbesluit genomen. Aangezien Facebookgebruikers zich in meerdere lidstaten van de Europese Unie bevinden, is de DPC gehouden haar voorgenomen boetebesluit voor te leggen aan de andere betrokken Europese toezichthouders voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. Daarnaast is het ontwerpbesluit aan de klager verstuurd, die het vervolgens heeft gepubliceerd (tot ongenoegen van de DPC).
Voorgenomen boetebesluit
In haar ontwerpbesluit is de DPC onder meer ingegaan op de vraag of Facebook de verwerking van persoonsgegevens kan baseren op noodzaak voor de overeenkomst (artikel 6, lid 1, sub b, AVG). Hierbij is met name aandacht besteed aan het verwerken van persoonsgegevens voor het adverteren op basis van surfgedrag (ook wel 'behavioural advertising' genoemd).
De DPC toetst in dit kader of de kern van de specifieke overeenkomst die gebruikers aangaan met Facebook, zonder deze verwerking van persoonsgegevens nog kan worden uitgevoerd. Hierbij legt de DPC nadruk op de fundamentele doelstellingen en de aard van de overeenkomst tussen Facebook en haar gebruikers. Zij neemt in haar afweging mee dat Facebook een gratis dienst is met een duidelijk verdienmodel.
De European Data Protection Board (EDPB) stelt richtsnoeren vast, waarmee zij uitleg geeft over de toepassing van de AVG. Ten aanzien van het verlenen van online diensten stelt de EDPB dat behavioural advertising in beginsel niet noodzakelijk is voor het uitvoeren van een overeenkomst. Persoonsgegevens zijn volgens de EDPB geen handelswaar. Echter benadrukt de DPC in haar ontwerpbesluit dat deze richtsnoeren niet bindend zijn. De DPC is van oordeel dat in dit specifieke geval Facebook zich wel degelijk - in theorie - op deze rechtsgrond zou kunnen beroepen.
Hierbij acht de DPC zichzelf niet bevoegd om een verdergaande conclusie te trekken. De uitleg van een overeenkomst en wat partijen over en weer van elkaar mogen verwachten, vloeit volgens de DPC voort uit het nationale contractenrecht. Dit kan per lidstaat verschillen en zou buiten het domein van het gegevensbeschermingsrecht vallen. Daarnaast lijkt de DPC van mening dat zij niet voor Facebook kan bepalen welke gegevensverwerkingen wel en niet nodig zijn om de aangegane overeenkomst uit te voeren.
Toch komt de DPC tot de conclusie dat sprake is van een inbreuk op de AVG. Dit is volgens haar gelegen in de gebrekkige informatievoorziening en transparantie door Facebook (artikel 5, lid 1, sub a, AVG jo. artikel 12, lid 1, AVG jo. artikel 13, lid 1, sub c, AVG). Hiervoor is de DPC voornemens een boete van 28 tot 36 miljoen euro op te leggen.
Vervolg
De conclusie dat noodzaak voor de overeenkomst zich in theorie leent als toepasselijke rechtsgrond voor Facebook is controversieel. Naar verwachting zullen betrokken toezichthouders dan ook relevante en gemotiveerde bezwaren indienen, als dit niet al is gebeurd. In het geval van blijvende onenigheid tussen de toezichthouders kan de EDPB een bindend besluit nemen, dat de DPC moet volgen. Hoewel dit slechts twee keer eerder heeft plaatsgevonden (inzake Twitter en WhatsApp), zou deze zaak mogelijk aanleiding kunnen zijn voor het derde bindende besluit van de EDPB. Dit zou overigens ook de derde keer zijn dat de EDPB bij een boetebesluit van de DPC moet ingrijpen.