Auteurs
De regionale rechtbank voor burgerlijke zaken in Wenen heeft een uitspraak gedaan in de rechtszaak over gegevensbescherming tussen activist Max Schrems en social mediaplatform Facebook. De uitspraak volgt op mondelinge hoorzittingen die eerder dit jaar in de Oostenrijkse hoofdstad werden gehouden en waarbij de Europese privacydirecteur van Facebook, Ceilia Alvarez, werd geconfronteerd met vragen over:
- Het vermogen van het bedrijf om toestemming te krijgen van zijn gebruikers;
- de naleving van verzoeken om gegevens door degenen die actief zijn op de netwerksite; en
- Verduidelijking van de terminologie 'verwijdering van gegevens' en de betekenis daarvan in de praktijk.
Het vonnis van 30 juni 2020 bepaalt dat Facebook weliswaar een schadevergoeding van 500 euro moet betalen voor het schenden van zijn openbaarmakingsverplichtingen met betrekking tot het gebruik van de persoonsgegevens van de eiser, maar dat de netwerksite wordt geacht contractueel of juridisch medeplichtig te hebben gehandeld met betrekking tot de verwerking van de gegevens van de eiser.
De uitspraak
De volgende juridische zaken zijn het benadrukken waard:
Gegevensverwerking in overeenstemming met de Algemene Verordening Gegevensbescherming (GDPR)
- De rechtbank oordeelde dat Art. 2 GDPR niet van toepassing is op de verwerking van persoonsgegevens in het licht van privé- of gezinsactiviteiten.
- De eiser zou een contract ("gegevensverwerkingsovereenkomst") zijn aangegaan met Facebook toen hij een privéaccount aanmaakte.
- Zijn persoonlijke gebruik van het platform zorgde ervoor dat hij buiten het bereik van de GDPR viel.
- De gegevensverwerking vond daarom plaats in overeenstemming met de GDPR en zou geoorloofd blijven zolang de eiser zijn account niet zou verwijderen. Alleen dan zou de overeenkomst tussen partijen worden beëindigd.
Voorwaarden
- Het Hof oordeelde verder dat voor een vordering tot een voorlopige voorziening niet alleen vereist is dat de handeling in kwestie verboden is, maar dat er ook een bestaand risico op herhaling van deze onwettige handeling moet zijn, d.w.z. dat de verweerder de wettelijk vastgestelde norm al heeft geschonden.
- In het onderhavige geval kon de eiser toestemming geven voor de verwerking van zijn persoonsgegevens. Door de voorwaarden van de verweerder te accepteren, had hij vrijwillig ingestemd met de voorwaarden ervan.
- Het economisch model van verweerder is gebaseerd op het genereren van inkomsten door middel van op maat gemaakte reclame en commerciële inhoud. Om zijn dienst gratis aan het publiek aan te bieden, worden inkomsten gegenereerd door de verwerking van gebruikersgegevens die worden verkocht aan adverteerders, die ze voor gerichte reclamedoeleinden kunnen gebruiken.
- Door gebruik te maken van het platform accepteren gebruikers bewust commerciële inhoud, die gepersonaliseerd is op basis van individuele smaken, voorkeuren en interesses - gegevens die dus deel uitmaken van de gebruiksvoorwaarden.
- Aangezien gepersonaliseerde reclame een essentieel onderdeel vormt van de aangeboden dienst en voortvloeit uit de specifieke gebruiksvoorwaarden die deel uitmaken van het contract, was het de taak van de verweerder om het doel van het contract te specificeren, waarmee de eiser willens en wetens heeft ingestemd.
Gevoelige gegevens
- Volgens het Hof was er geen sprake van een schending van Art. 9 GDPR niet voort uit de vastgestelde feiten.
- Met betrekking tot gevoelige gegevens over politieke belangen of seksuele geaardheid, oordeelde het Hof dat een interesse in een politieke partij of hetzelfde geslacht niet noodzakelijkerwijs de verbondenheid van de verweerder met een bepaalde politieke opvatting weergeeft of een seksuele geaardheid impliceert. Bovendien was de GDPR niet geschonden, aangezien dit laatste door de eiser publiekelijk bekend was gemaakt.
- Door het louter verwerken van de gegevens kon de rechtbank geen illegale handelingen van de verweerder vaststellen waarvoor hij verantwoordelijk kon worden gehouden.
Schadevergoeding
- 15 GDPR bepaalt dat de Verweerder verplicht is om informatie te verstrekken over alle persoonlijke gegevens op gepaste tijdstippen die de Verweerder relevant acht voor de gebruiker.
- Door het schenden van zijn plicht kreeg Eiser onvoldoende overzicht over alle gegevens die werden opgeslagen.
- Zijn verlies van controle en de daarmee gepaard gaande onzekerheid geven hem recht op een vordering tot schadevergoeding en de vrijgave van alle gevraagde gegevens.
Commentaar
Dit arrest biedt een gedetailleerde beschrijving van de manier waarop Facebook gebruikersprofielen creëert, namelijk door gebruik te maken van de geschiedenis van bezochte pagina's en informatie verkregen uit connecties met vrienden of "soortgelijke" gebruikers. Desondanks wordt de gevoeligheid van dergelijke gegevens niet onderkend. Hoewel de verplichte vrijgave van de gegevens van de aanklager een beroep door Facebook zeer waarschijnlijk maakt, heeft de heer Schrems al plannen geuit om binnen de komende vier weken een dergelijk beroep aan te tekenen. Hopelijk zal het aanhangig maken van de zaak bij een Superior Court meer duidelijkheid verschaffen over de rechtmatigheid van de activiteiten van Facebook en de (non-)compliance met de GDPR. Zoals in eerdere gevallen het geval was, zou dit ook een verwijzing van verschillende vragen naar het Europees Hof van Justitie mogelijk kunnen maken.
Bronnen
Oorspronkelijk gepubliceerd 08 juli 2020
De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. Over jouw specifieke omstandigheden moet specialistisch advies worden ingewonnen.