Meta Ireland krijgt 390 miljoen euro boete voor onrechtmatige verwerkingsgrondslag
De Ierse privacy toezichthouder (de “DPC") heeft op 4 januari 2023 haar eindbesluit met betrekking tot Meta Ireland's Facebook- en Instagram-diensten bekendgemaakt, waarin ze Meta Ireland een boete oplegt van 210 miljoen euro (voor inbreuken op de AVG met betrekking tot haar Facebook-diensten) en 180 miljoen euro (voor inbreuken met betrekking tot haar Instagram-diensten). De besluiten zien vooral op de rechtsgrondslag voor de verwerking van persoonsgegevens voor gepersonaliseerde advertenties.
Op 25 mei 2018 is de DPC een onderzoek gestart naar Meta Ireland (“Meta”) naar aanleiding van klachten over Facebook en Instagram, twee diensten die onder Meta vallen. De klachten zagen voornamelijk op de verwerkingsgrondslag die Meta voor haar diensten gebruikt. Waar Meta eerder aan haar gebruikers toestemming vroeg als grondslag voor de verwerking van hun persoonsgegevens, baseerde Meta, vanaf de ingang van de Algemene Verordening Gegevensbescherming (“AVG”) op 25 mei 2018, haar verwerkingsactiviteiten op de grondslag “uitvoering van een overeenkomst”. Door het accepteren van de Meta gebruiksvoorwaarden zou de gebruiker een overeenkomst aangaan met het platform. Hierbij zou het volgens Meta noodzakelijk zijn hun persoonsgegevens te verwerken, onder andere voor het aanbieden van gepersonaliseerde advertenties.
Het ontwerpbesluit van de Ierse toezichthouder
Op 6 oktober 2021 publiceerde de DPC haar ontwerpbesluit, waarin ze een boete voorstelde van maximaal 23 miljoen euro voor Instagram en maximaal 36 miljoen euro voor Facebook. De DPC stelde hierin dat:
- Meta niet voldeed aan haar transparantieverplichtingen onder de AVG aangezien het voor de gebruikers van de diensten onvoldoende duidelijk was op welke wijze hun persoonsgegevens werden verwerkt, voor welke doeleinden en op basis van welke rechtsgrondslag; en
- het aanbieden van advertenties onder de kerndiensten valt die Meta levert, waardoor Meta zich kon baseren op de grondslag “uitvoering van een overeenkomst”.
Dit ontwerpbesluit werd vervolgens voorgelegd aan de andere betrokken privacy toezichthouders.
Het Europese Coherentiemechanisme
Bij grensoverschrijdende verwerkingen wordt een leidende toezichthouder aangewezen en dient deze haar ontwerpbesluit voor te leggen aan de andere betrokken toezichthouders. In dit geval werd het ontwerpbesluit van de DPC door 10 Europese privacy toezichthouders bekritiseerd, waaronder de Nederlandse Autoriteit Persoonsgegevens. Zij waren van mening dat i) het leveren van gepersonaliseerde advertenties geen kernelement is van de diensten die door Meta worden geleverd en ii) de gebruiker sociale mediadiensten zou moeten kunnen gebruiken zónder het verwerken van hun persoonsgegevens voor het aanbieden van gepersonaliseerde advertenties. Aangezien er tussen de toezichthouders geen consensus kon worden bereikt, trad het coherentiemechanisme in werking. Het Europees Comité voor gegevensbescherming (de “EDPB”) stelt in dit geval een bindend besluit vast, waarna de leidende toezichthouder een eindbesluit vaststelt. Dit besluit heeft de EDPB op 5 december 2022 genomen.
Het bindende besluit van de EDPB
In haar bindend besluit bevestigde de EDPB het standpunt van de DPC met betrekking tot inbreuken op de transparantieverplichtingen, maar kwam – in tegenstelling tot de DPC – tot de conclusie dat de grondslag “uitvoering van een overeenkomst” niet rechtmatig was voor de verwerking van persoonsgegevens voor het aanbieden van gepersonaliseerde advertenties. Ten eerste stelde de EDPB vast dat Meta, op basis van diens gebruiksvoorwaarden, contractueel niet verplicht is om gepersonaliseerde advertenties aan te bieden aan de gebruiker. Deze contractuele verplichting zou eerder tussen Meta en diens adverteerders bestaan. Ten tweede kan er volgens de EDPB geen sprake zijn van “uitvoering van een overeenkomst” wanneer het voor betrokkenen onvoldoende duidelijk is hoe zijn persoonsgegevens worden verwerkt, voor welke doeleinden en op basis van welke grondslagen. Deze transparantievereisten vormen een onmisbaar onderdeel van deze verwerkingsgrondslag. Ten derde kunnen betrokkenen op grond van artikel 21 lid 2 en lid 3 van de AVG bezwaar maken tegen de verwerking van hun persoonsgegevens voor direct marketingdoeleinden. Wanneer de gebruiker de mogelijkheid heeft zich te allen tijde af te melden zonder opgave van reden, kán de verwerking niet noodzakelijk zijn, zo beargumenteert de EDPB. Op basis van de bovenstaande overwegingen is de EDPB van mening dat de Meta-diensten voornamelijk worden gebruikt om te communiceren en niet om gepersonaliseerde advertenties te ontvangen.
Daarnaast gaf zij aan dat de door de DPC voorgestelde boetes aanzienlijk moeten worden verhoogd.
Het eindbesluit van de Ierse toezichthouder
In haar eindbesluit van 31 december 2022 heeft de DPC het bindende besluit van de EDPB overgenomen. Meta mag de rechtsgrondslag "uitvoering van een overeenkomst" niet gebruiken in verband met de levering van gepersonaliseerde advertenties als onderdeel van haar Facebook- en Instagram-diensten. De verwerking op basis van deze grondslag levert vanaf de ingang van de AVG tot op heden een inbreuk op artikel 6 lid 1 van de AVG, waarbij de DPC Meta boetes oplegt van 180 miljoen euro voor Instagram en 210 miljoen euro voor Facebook. Meta heeft drie maanden de tijd om haar gegevensverwerkingsactiviteiten in overeenstemming met de AVG te brengen.
Gevolgen
De Meta-besluiten hebben aanzienlijke implicaties voor de toekomst van privacywetgeving binnen het digitale domein, maar lijken nog geen eind te hebben gemaakt aan het zich sinds 2018 voortslepende conflict.
De besluiten hebben Meta in haar kern geraakt. Meta’s bedrijfsmodel is immers gebaseerd op het aanbieden van gepersonaliseerde advertenties aan haar gebruikers. Het bedrijf verwacht al een omzetdaling van miljarden dollars als gevolg van de invoering van een functie in de iOS-besturingssysteem van Apple waarmee gebruikers zich kunnen afmelden voor tracking. Dit besluit kan ook belangrijke gevolgen hebben voor andere platforms die gepersonaliseerde advertenties centraal stellen in hun bedrijfsmodel. Nu Meta zich niet op deze verwerkingsgrondslag mag baseren voor het plaatsen van gepersonaliseerde advertenties, zal zij moeten onderzoeken of zij zich kan baseren op een andere verwerkingsgrondslag, zoals toestemming of een “gerechtvaardigd belang”. Als Meta het beroep verliest en voor de rechtsgrondslag “gerechtvaardigd belang” zou kiezen, brengt dit onzekerheden met zich mee. Op dit moment zijn er ten aanzien van de rechtsgrondslag “gerechtvaardigd belang” prejudiciële vragen bij het Europese Hof van Justitie (het “HvJEU”) (C-621/22) aanhangig. Meta liet weten tegen het besluit in beroep te gaan. Aangezien de zaak zowel Europese als (mogelijk) Ierse constitutionele vraagstukken betreft, kan er uiteindelijk zowel naar het Ierse Hooggerechtshof als naar het HvJEU worden verwezen.
Daarnaast laat het besluit van de DPC een groot meningsverschil tussen de DPC en de andere Europese privacytoezichthouders zien. Volgens de EDPB had de DPC uitgebreider onderzoek moeten doen, onder andere naar de grondslag van elk in het geding zijnde gegevensverwerking van Facebook en Instagram. Hierop liet de DPC weten dat de EDPB haar bevoegdheden te buiten is gegaan en zal de DPC proberen om dit besluit nietig te laten verklaren.