De Weense regionale rechtbank voor burgerlijke zaken heeft een uitspraak gedaan in het proces over gegevensbescherming tussen activist Max Schrems en het sociale-mediaplatform Facebook. De uitspraak volgt op mondelinge hoorzittingen die eerder dit jaar in de Oostenrijkse hoofdstad zijn gehouden en waarbij de Europese privacyregisseur van Facebook, Ceilia Alvarez, geconfronteerd werd met vragen die centraal stonden:

• Het vermogen van het bedrijf om toestemming van zijn gebruikers te krijgen;
• het voldoen aan verzoeken om gegevens van degenen die op de netwerksite actief zijn; en
• Verduidelijking van de terminologie "gegevensverwijdering" en de betekenis ervan in de praktijk.

Het arrest van 30 juni 2020 stelt vast dat Facebook weliswaar een schadevergoeding van 500 EUR moet betalen voor het schenden van zijn openbaarmakingsverplichtingen met betrekking tot het gebruik van de persoonsgegevens van de eiser, maar dat de netwerkdienst geacht wordt contractueel of juridisch medeplichtig te hebben gehandeld met betrekking tot de verwerking van de gegevens van de eiser.

De uitspraak

De volgende juridische aangelegenheden verdienen de aandacht:

-Verwerking van gegevens in overeenstemming met de algemene verordening inzake gegevensbescherming (GDPR)

• Het Hof oordeelde dat Art. 2 GDPR niet van toepassing is op de verwerking van persoonsgegevens in het licht van privé- of gezinsactiviteiten.
• Eiser zou met Facebook een overeenkomst ("gegevensverwerkingsovereenkomst") hebben gesloten toen hij een privé-account aanmaakte.
• Door zijn persoonlijk gebruik van het platform viel hij buiten het toepassingsgebied van de GDPR.
• De gegevensverwerking geschiedde derhalve in overeenstemming met de GDPR en zou toelaatbaar blijven zolang eiser zijn account niet zou verwijderen. Pas dan zou de overeenkomst tussen de partijen worden beëindigd.

Voorwaarden en bepalingen

• Het Hof oordeelt voorts dat een vordering tot het verkrijgen van een rechterlijk bevel niet alleen vereist dat de betrokken handeling verboden is, maar ook dat er een bestaand gevaar voor herhaling van die onrechtmatige handeling moet bestaan, dat wil zeggen dat de verweerder de wettelijk vastgestelde norm reeds heeft geschonden.
• In het onderhavige geval kon de eiser instemmen met de verwerking van zijn persoonsgegevens. Door de voorwaarden van verweerder te aanvaarden, had hij vrijwillig met de voorwaarden ingestemd.
• Het economische model van verweerster is gebaseerd op het genereren van inkomsten door middel van op maat gemaakte reclame en commerciële inhoud. Om zijn dienst gratis aan het publiek aan te bieden, worden inkomsten gegenereerd door gebruikersgegevens te verwerken die worden verkocht aan adverteerders, die deze gegevens kunnen gebruiken voor gerichte reclamedoeleinden.
• Door het gebruik van het platform aanvaardt de gebruiker bewust commerciële inhoud, waarvan het gepersonaliseerde karakter gebaseerd is op individuele smaken, voorkeuren, interesses - gegevens die dus deel uitmaken van de gebruiksvoorwaarden.
• Aangezien gepersonaliseerde reclame een essentieel onderdeel van de aangeboden dienst vormt en voortvloeit uit de specifieke gebruiksvoorwaarden die deel uitmaken van de overeenkomst, had verweerster tot taak het doel van de overeenkomst te specificeren, waarmee eiser vrijwillig heeft ingestemd.

Gevoelige gegevens

• Volgens het Hof vloeide een schending van artikel 9 GDPR niet voort uit de vastgestelde feiten. 9 GDPR niet voortvloeien uit de vastgestelde feiten.
• Wat gevoelige gegevens over politieke belangen of seksuele geaardheid betreft, oordeelde het Hof dat een belang in een politieke partij of hetzelfde geslacht niet noodzakelijk de verbondenheid van de verweerder met een bepaalde politieke overtuiging weerspiegelt of een seksuele geaardheid impliceert. Bovendien was de GDPR niet geschonden, aangezien dit laatste door de eiser publiekelijk bekend was gemaakt.
• Door de loutere verwerking van de gegevens kon het Hof geen onwettige handelingen van verweerster ontdekken waarvoor zij verantwoordelijk kon worden gehouden.

Schades

• 15 GDPR bepaalt dat de verweerder verplicht is informatie te verstrekken over alle persoonsgegevens met passende tussenpozen die de verweerder relevant acht voor de gebruiker.
• Door zijn plichtsverzuim is aan eiseres geen toereikend overzicht verstrekt van alle gegevens die werden opgeslagen.
• Zijn verlies van controle en de daarmee gepaard gaande onzekerheid geven hem recht op een schadevordering en de vrijgave van alle gevraagde gegevens.

Commentaar

Dit oordeel biedt een gedetailleerd overzicht van de manier waarop Facebook gebruikersprofielen aanmaakt, namelijk door te putten uit de geschiedenis van de bezochte pagina's en uit informatie die wordt verkregen via verbindingen met vrienden of "soortgelijke" gebruikers. Desalniettemin wordt de gevoeligheid van dergelijke gegevens niet onderkend. Hoewel de verplichte vrijgave van de gegevens van de eiser hoogstwaarschijnlijk een beroep doet op Facebook, heeft de heer Schrems al aangegeven dat hij van plan is om binnen de komende vier weken een dergelijke actie te ondernemen. Gehoopt wordt dat het aanhangig maken van de zaak bij een Hoge Raad meer duidelijkheid zal verschaffen over de rechtmatigheid van de activiteiten van Facebook en de (niet-)naleving van de GDPR. Net als in eerdere gevallen zou dit ook een doorverwijzing van een aantal vragen naar het Hof van Justitie mogelijk maken.

Oorspronkelijk gepubliceerd op 08 juli 2020

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. Er dient gespecialiseerd advies te worden ingewonnen over uw specifieke omstandigheden.