Privacy Update
Privacy Update
De Europese gegevensbeschermingsautoriteiten hebben de afgelopen tijd niet stilgezeten. Zowel Microsoft, Meta als Apple hebben tot in de honderden miljoenen euro’s aan boetes opgelegd gekregen.
Microsoft
Microsoft heeft op de valreep van 2022 nog een boete van 60 miljoen euro opgelegd gekregen door de Franse gegevensbeschermingsautoriteit (CNIL). De CNIL deed tussen 2020 en 2021 onderzoek naar de inzet van cookies op www.bing.com (website van Microsoft). In die tijd werden er, zonder dat daar toestemming voor was gegeven, zo genoemde ‘tracking cookies’ geplaatst. Tracking cookies zijn cookies waarmee informatie van de websitebezoeker wordt verzameld om zo gepersonaliseerde advertenties te tonen.
Bovendien bood Microsoft de mogelijkheid om voor bepaalde cookies wél toestemming te geven, maar was het niet zo eenvoudig om de toestemmingsvraag te weigeren. “While the search engine offered a button to accept cookies immediately, it did not offer an equivalent solution (button to refuse or other) to allow the Internet user to refuse them as easily. Two clicks were needed to refuse all cookies, while only one was needed to accept them”, aldus de CNIL.
Doordat de CNIL haar besluit op lokale wetgeving heeft gebaseerd, is het niet een-op-een van toepassing in Nederland. Echter, de betreffende lokale wetgeving is afgeleid van Europese wetgeving (ePrivacy Richtlijn), waardoor het een duidelijke aanwijzing geeft waar het naartoe aan het bewegen is. Zeker nu dat de European Data Protection Board (EDPB) zelfde soort geluiden laat horen.
Meta
Meta is het jaar begonnen met een boete van maar liefst 390 miljoen euro dankzij de Ierse gegevensbeschermingsautoriteit (DPC). Meta vroeg voor de verwerking van persoonsgegevens en de daarmee samenhangende personalisatie van advertenties op haar platformen geen toestemming, maar baseerde dit op het feit dat gebruikers akkoord zijn gegaan met de gebruikersvoorwaarden. Om aan die voorwaarden te voldoen, moest het bedrijf gepersonaliseerde advertenties tonen, aldus Meta. Zonder akkoord te gaan met de voorwaarden was het niet mogelijk om gebruik te maken van de diensten van Meta. Waar de meeste organisaties gebruik maken van toestemming van de websitebezoeker voor het personaliseren van advertenties, deed Meta dat dus op grond van de uitvoering van een overeenkomst (zie het verschil tussen artikel 6, lid 1 sub a en sub b AVG).
De DPC oordeelde dat de verwerking van persoonsgegevens voor het personaliseren van advertenties op grond van gebruikersvoorwaarden niet is toegestaan. Het is alleen mogelijk de verwerking van persoonsgegevens te rechtvaardigen door middel van een overeenkomst, als die verwerking een kernelement is van de overeenkomst. Het personaliseren van advertenties is dat niet voor de diensten van Meta waardoor het eigenlijk neerkwam op een verkapte toestemmingsvraag die niet kon worden geweigerd. Om toestemming vragen zonder deze kan worden geweigerd is niet toegestaan. Volgens de DPC personaliseerde Meta daarom onrechtmatig advertenties.
Het besluit is ook belangrijk voor adverteerders op het platform. Volgens de EPDB zijn adverteerders die adverteren op een social media platform tot op zekere hoogte gezamenlijk met het platform (zoals Meta) verantwoordelijk voor de daarmee samenhangende verwerking van persoonsgegevens. Hier lees je daar meer over. Meta heeft aangegeven in beroep te willen gaan tegen het besluit.
Apple
De CNIL heeft niet stilgezeten de afgelopen maanden; ook Apple is het jaar minder goed gestart door een boete van 8 miljoen euro doordat het volgens de CNIL op een onrechtmatige manier om toestemming vraagt voor het personaliseren van advertenties. Na een onderzoek dat heeft plaatsgevonden in 2021 en 2022 heeft de CNIL vastgesteld dat bij gebruikers van de App Store persoonsgegevens werden vastgelegd voor onder andere advertentiedoeleinden zonder dat daar vooraf toestemming was gevraagd. Standaard was ingesteld dat gebruikers hiervoor toestemming hadden gegeven. Alleen na het doorlopen van een aantal stappen was het mogelijk om toestemming (weer) in te trekken. Gebruikers moeten door middel van een actieve handeling toestemming gegeven, waardoor de instellingen van Apple onrechtmatig waren, aldus de CNIL.
Ook hier geldt dat adverteerders mogelijk deels verantwoordelijk gehouden kunnen worden van de personalisatie van hun advertenties die worden getoond door Apple. Al ligt dat in het geval van Apple minder voor de hand; Apple heeft aangegeven inmiddels haar procedures te hebben aangepast.
Wil je weten of de uitspraken ook relevant zijn voor jouw organisatie? Stuur dan een mail naar [email protected]