Rechtbank Amsterdam heeft 15 maart 2023 uitspraak gedaan in de massaclaimzaak tegen Meta (eigenaar van Facebook), waarbij de Consumentenbond en de Data Privacy Stichting (DPS) het bedrijf aanklaagden. Meta zou gedurende een periode van bijna 10 jaar onrechtmatig persoonsgegevens van Nederlandse gebruikers via het Facebookplatform gebruiken voor onder andere advertentiedoeleinden. In een eerder artikelover de opkomst van massaclaims in social medialand hebben we al gewezen op de toename van dit soort zaken tegen grote techbedrijven in Nederland.
Geen rechtsgeldige grondslag en gebruikers onvoldoende geïnformeerdMeta stelt zich op het standpunt dat zij persoonsgegevens rechtsgeldig verzamelen op grond van toestemming van, en/of uitvoering van de gebruikersovereenkomst gesloten met gebruikers van Facebook. De rechtbank heeft echter bepaald dat Meta persoonsgegevens verwerkte voor advertentiedoeleinden zonder dat daar een rechtsgeldige grondslag voor was. Verder heeft Meta de gebruikers van het Facebookplatform onvoldoende geïnformeerd over het doel en het gebruik van de persoonsgegevens.
ToestemmingOm toestemming te kunnen gebruiken als verwerkingsgrondslag moet er vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming zijn verkregen (opt-in). Uit de uitspraak volgt dat het verkrijgen van een ‘leesbevestiging’ geen geldige toestemming oplevert voor de verwerking van persoonsgegevens voor advertentiedoeleinden. Verder wordt ‘verborgen’ toestemming in de gebruikersovereenkomst niet als geldige toestemming beschouwd, omdat toestemming op specifieke informatie gebaseerd moet zijn. De algemene 'instemming' aan het einde van de gebruikersovereenkomst is niet specifiek genoeg.
Uitvoering van overeenkomstDaarnaast bevestigt de uitspraak (nogmaals) dat de verwerkingsgrondslag ‘uitvoering van de overeenkomst’ niet kan worden opgerekt voor advertentiedoeleinden. Volgens de rechtbank is het gebruik van persoonsgegevens voor advertentiedoeleinden niet noodzakelijk voor de uitvoering van de gebruikersovereenkomst tussen Facebook en de gebruiker van het platform, aangezien de belangrijkste doelstelling van de gebruikersovereenkomst het aanbieden van een profiel op een sociaal netwerk is. Meta heeft niet kunnen aantonen dat het aanbieden van een profiel op het sociale netwerk van Facebook feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt.
Gebruikers onvoldoende geïnformeerdVolgens de rechtbank heeft Meta de gebruikers daarnaast onvoldoende geïnformeerd over het doel en gebruik van hun persoonsgegevens. Hierdoor kon de gemiddelde consument geen goed geïnformeerd besluit nemen over het deelnemen aan het Facebookplatform.
Cookies op sites derdenDe Consumentenbond en Data Privacy Stichting stelden daarnaast dat Meta onrechtmatig Facebookcookies plaatste op websites van derden, maar hier ging de rechtbank niet in mee. Dit komt doordat Meta de verplichting om gebruikers te informeren over het plaatsen van cookies en toestemming te vragen heeft overgedragen aan de exploitant van de betreffende website. Dit neemt niet weg dat als Meta advertenties personaliseert met persoonsgegevens die zijn verkregen door middel van cookies, Meta verantwoordelijk blijft voor het aantonen van een verwerkingsgrondslag voor de personalisatie. Zoals hiervoor besproken kan Meta dat op dit moment niet.
Hoe nu verderDe procedure is gestart voor 1 januari 2020 en valt daarom onder het oude collectieve actierecht waarin geen schadevergoeding kon worden gevorderd. De Consumentenbond en DPS vorderde daarom een verklaring voor recht, waarin enkel wordt vastgesteld dat Meta onrechtmatig persoonsgegevens heeft verwerkt. Het doel van DPS en de Consumentenbond is om in de toekomst schadevergoeding te krijgen voor de gebruikers, wat mogelijk kan worden vastgesteld in een schikking of vervolgprocedure. Meta heeft al aangekondigd in beroep te gaan tegen de uitspraak. Inmiddels hebben DPS en de Consumentenbond aangekondigd een tweede zaak tegen Meta te beginnen, omdat Meta persoonsgegevens van zijn Europese gebruikers naar de Verenigde Staten zou doorsturen.
Belang adverteerdersDe verschillende uitkomsten van de lopende zaken zijn ook relevant voor partijen die adverteren op de verschillende platforms van Meta. Adverteerders zijn namelijk gezamenlijk met het platform verantwoordelijk voor de persoonsgegevens die worden verwerkt bij het personaliseren van advertenties. Aangezien de Nederlandse rechter in deze zaak tot de conclusie komt dat Meta onrechtmatig persoonsgegevens verwerkt, betekent dit dat de adverteerder op het Facebookplatform daar (op zekere hoogte) ook verantwoordelijk voor kan worden gehouden. Over deze gezamenlijke verantwoordelijkheid hebben we eerder een artikel geschreven. Deze kun je hierlezen.
