De European Data Protection Board (EDPB) heeft drie geschillenbeslissingen genomen op basis van artikel 65 GDPR met betrekking tot Meta Platforms Ireland Limited. De besluiten (die niet openbaar zijn gemaakt) hebben betrekking op de vraag of de verwerking van persoonsgegevens voor de uitvoering van een overeenkomst al dan niet een geschikte rechtsgrondslag is voor behavioral advertising.
Toen de General Data Protection Regulation (GDPR) van de EU in mei 2018 van kracht werd, dacht Meta Ireland Ltd. dat het de noodzaak voor gebruikers om hun opt-in toestemming te geven kon “omzeilen” door alleen een clausule in de algemene voorwaarden op te nemen. NOYB diende klachten in tegen de sociale mediagigant, en na 4,5 jaar bepaalde de European Data Protection Board (EDPB) dat Meta’s vermeende “omzeiling” van de GDPR onrechtmatig was.
Wist u dat NOYB in augustus 2022 een nieuwe ronde cookieklachten is gestart tegen een selecte groep website-eigenaren? lees meer over dit verhaal hier →
👉 Facebook gebruikte vroeger toestemming voor het gebruik van uw gegevens, d.w.z. voor advertenties.
👉 Toen de GDPR in mei 2018 van kracht werd, moest toestemming geïnformeerd zijn; vrijelijk gegeven; ondubbelzinnig; specifiek.
👉 Facebook besloot 4,5 jaar geleden een toestemmingsclausule in hun algemene voorwaarden op te nemen toen de GDPR om middernacht in werking trad.
Zodra facebook toestemming in zijn algemene voorwaarden opnam, werd toestemming onderdeel van het contract, en waren de wetten voor toestemming niet langer van toepassing, alleen de contractuele wetten. De GDPR verbiedt bedrijven in het algemeen om van klanten te verlangen dat zij persoonlijke informatie verstrekken om van hun diensten gebruik te kunnen maken. Een uitzondering is echter de noodzaak van persoonlijke informatie om een contract uit te voeren.
👉 Toen de GDPR die nacht in werking trad, diende NOYB daarom drie klachten in tegen Facebook, Instagram en Whatsapp (Meta-bedrijven).
👉 In 10 besloten sessies zou de Ierse DPC Meta toestemming hebben gegeven om deze “bypass” te gebruiken, aldus Meta.
👉 Nu heeft het Europees Comité voor gegevensbescherming de Ierse DPC terzijde geschoven en gezegd dat toestemming een apart aspect is en dat gebruikers ja of nee zeggen tegen het gebruik van hun gegevens.
De EDPB-uitspraak is niet openbaar gemaakt, maar dat zal in januari 2023 gebeuren, samen met de definitieve uitspraak van de DPC. De Ierse DPC zal de EDPB-uitspraak ontvangen, waarna de uitspraak binnen een maand moet worden bezorgd aan Meta in Ierland en noyb in Oostenrijk.
Meta kan dan de uitspraak aanvechten, hoewel er weinig kans op succes is als er eenmaal een EDPB-uitspraak is gedaan.
De keuze van de raad zou Meta niet dwingen tot merkbare veranderingen. In plaats daarvan zou de Ierse DPC verzoeken om matching orders toe te passen. Meta zou hieraan moeten voldoen omdat haar Europese activiteiten wettelijk in Ierland zijn gevestigd.
Voor verdere lectuur hierover, zie hier voor de officiële EDPB-tekst.
Uit de EU-arresten blijkt een toenemende bereidheid van regelgevende instanties om paal en perk te stellen aan wat vaak “behavioral advertising” wordt genoemd. Deze industrie, die jaarlijks tientallen miljarden dollars waard is, houdt in dat consumenten gerichte digitale advertenties te zien krijgen op basis van gebruikersprofielen en conclusies uit hun onlinegedrag op applicaties en websites.
👉 Gebruikt u cookies of andere trackers voor doeleinden zoals gedragsmatige reclame, analytics, remarketing, en content personalisatie? Een Consent Management Platform zoals onze Privacy Controls and Cookie Solution is waarschijnlijk nodig.