Zoals de Wall Street Journal meldde, heeft het Europees Comité voor gegevensbescherming vastgesteld dat Meta illegaal gebruikersprofielen heeft opgesteld voor gerichte reclame op zijn platforms. Tegen het besluit kan beroep worden aangetekend, maar het is onwaarschijnlijk dat het wordt teruggedraaid. Over sancties is op dit moment geen informatie beschikbaar, maar gezien de hoeveelheid persoonlijke gegevens waar het om gaat, zouden we wel eens een flinke boete kunnen zien.
De beslissing komt voort uit een klacht die in 2018 werd ingediend door privacy-ngo noyb en maakt een eerdere uitspraak van de Ierse gegevensbeschermingsautoriteit (DPC) ongedaan. Hoewel de beslissing nog moet worden gepubliceerd, is het beeld vrij eenvoudig omdat sommige informatie over de klacht al lang openbaar is.
In deze blog leggen we uit hoe het zit met Meta en waarom het een gevolg is van een breder probleem met het bedrijfsmodel achter sociale media.
Laten we erin duiken!
De beslissing
Voor alle duidelijkheid: de EDPB heeft niet gezegd dat gerichte reclame op sociale mediaplatforms op zichzelf illegaal is. Het College vond dat Meta illegaal gebruikersprofielen maakte omdat ze misbruik maakten van een specifieke rechtsgrondslag onder de GDPR - de uitvoering van een contract. Dit lijkt misschien een klein detail, maar dat is het niet. Laten we de kwestie uitpakken.
Zoals we op onze blog hebben uitgelegd, heeft elke voor de verwerking verantwoordelijke onder de GDPR een rechtsgrondslag nodig om gegevens te verwerken - een rechtvaardiging zoals de toestemming van de betrokkene of een wettelijke verplichting. De GDPR bevat een gesloten lijst van zes rechtsgrondslagen, elk met zijn eigen vereisten.
Sinds de inwerkingtreding van de GDPR in 2018 gebruikt Meta de uitvoering van een contract als rechtsgrondslag om gebruikers gepersonaliseerde advertenties aan te bieden op basis van hun online activiteit. Daarmee beweerde Meta in wezen dat gepersonaliseerde reclame een essentieel onderdeel is van hun contract met de gebruiker (dat wil zeggen de servicevoorwaarden voor Facebook en Instagram). Noyb beweerde dat Meta misbruik maakte van de rechtsgrond van het contract en ondernam in 2018 gerechtelijke stappen en diende de klacht in die leidde tot de uitspraak van de EDPB.
De uitspraak zelf is absoluut niet verrassend. De Europese rechtspraak heeft al lang duidelijk gemaakt dat de rechtsgrond overeenkomst alleen betrekking heeft op verwerkingsactiviteiten die strikt noodzakelijk zijn voor de uitvoering van de overeenkomst. Dit is duidelijk niet het geval bij gerichte reclame. Bovendien heeft de EDPB zelf in zijn richtsnoeren verduidelijkt dat overeenkomst geen geschikte rechtsgrond is voor online gedragsreclame.
Maar waarom kon Meta zich niet gewoon beroepen op een andere rechtsgrondslag? Dat is een beetje ingewikkeld, dus we houden het hier kort en krachtig en geven wat meer details in de toelichting. In een notendop: als Meta zich niet had gebaseerd op een overeenkomst, had het de toestemming van de gebruiker moeten verzamelen. Dit is een heikel punt omdat een gebruiker gerichte reclame kan weigeren of zich ertegen kan verzetten. Aangezien internetgebruikers steeds privacybewuster worden, zou dit de advertentie-inkomsten van het bedrijf ernstig kunnen beïnvloeden.
Kortom, Meta heeft de regels omzeild en is er vier jaar mee weggekomen.
Gegevens zijn geen handelswaar
Meta is niet het enige grote techbedrijf dat worstelt met de GDPR. Zo kwam TikTok nog niet zo lang geleden in de problemen met de Italiaanse DPA vanwege rechtsgrondslagen. Google Analytics heeft ook zijn deel van de problemen en wordt in verschillende lidstaten praktisch verboden, om verschillende redenen (we schreven hierover op onze blog).
De kern van het probleem is dat de GDPR (en het EU-kader voor gegevensbescherming in het algemeen) privacy en gegevensbescherming behandelt als fundamentele rechten, terwijl sociale netwerken (en veel andere techbedrijven) een op toezicht gericht bedrijfsmodel belichamen dat persoonsgegevens als handelswaar behandelt.
Deze perspectieven zijn radicaal onverenigbaar. Vanuit een zuiver economisch oogpunt is profilering eigenlijk noodzakelijk voor de uitvoering van het contract omdat het een cruciaal onderdeel is van het bedrijfsmodel van Meta: als het bedrijf niet zou kunnen profiteren van het contract, zou het de dienst niet kunnen leveren, noch zou het enige stimulans hebben om dat te doen. Maar onder de GDPR zijn privacy en gegevensbescherming niet-onderhandelbare rechten. Het verwerken van persoonsgegevens kan niet worden gerechtvaardigd alleen omdat het deel uitmaakt van een bedrijfsmodel, hoe wijdverbreid en succesvol ook.
Sommige critici van de GDPR beweren dat de verordening onuitvoerbaar is en niet aansluit bij een datagedreven economie, maar dat is niet het geval. De Europese instellingen zijn zich terdege bewust van de cruciale rol van gegevens. Daarom streeft de GDPR naar een evenwicht tussen gegevensbeschermingsrechten en andere grondrechten, waaronder de vrijheid van ondernemerschap.
Maar de GDPR trekt ook een lijn tussen een datagedreven economie en een bewakingseconomie, en deze lijn is terecht gehandhaafd tegen Meta.
Update
Er zijn nogal wat updates over de zaken:**- de DPC heeft in totaal €390M boetes uitgedeeld voor de GDPR-schendingen door Facebook en Instagram*- de EDPB heeft een soortgelijke zaak tegen Whatsapp, eigendom van Meta, geschikt. De DPC beboette Whatsapp slechts voor €5M**- de EDPB gaf de DPC ook opdracht om de gegevensverwerking van Meta verder te onderzoeken. De DPC vindt dat de EDBP daartoe niet bevoegd is en kondigde een rechtszaak aan tegen het bevel bij het Hof van Justitie van de EU.*
390 miljoen euro lijkt misschien veel, maar dat is het niet. Het grootste deel van de boetes draait om een gebrek aan transparantie. Het ontbreken van een rechtsgrondslag, waarschijnlijk het grootste probleem, kostte Meta in totaal €120 miljoen voor de overtredingen van Facebook en Instagram. Ter vergelijking: de Belgische DPA beboette Amazon voor €746M voor soortgelijke schendingen!
Het is moeilijk te zeggen hoe de juridische actie van de DPC tegen de EDPB zal uitpakken, maar het zal zeker de toch al alarmerende wrijving tussen de DPC en haar Europese tegenhangers vergroten.
Conclusies
De beslissing van de EDPB laat eens te meer zien dat de GDPR een effectief instrument kan zijn om privacy af te dwingen tegen op surveillance gebaseerde bedrijfsmodellen. Maar handhaving is slechts een deel van het plaatje. Consumenten zijn zich steeds meer bewust van privacykwesties en bedrijven beginnen de waarde in te zien van goed, privacyvriendelijk gegevensbeheer.
Een verschuiving naar privacyvriendelijke instrumenten kan een grote rol spelen bij het opbouwen van een internet zonder toezicht. Met Simple Analytics proberen we dit te vergemakkelijken. Wij geloven dat u inzichten kunt halen uit uw web analytics, zonder de noodzaak om persoonlijke informatie te verzamelen of cookies te installeren in de computer van uw bezoekers.
Wij geloven in een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit u aanspreekt, probeer ons dan gerust uit!