De Data Protection Commission (DPC) heeft een boete van 390 miljoen euro opgelegd aan Meta. Het moederbedrijf van Facebook en Instagram schoot gebruikers gepersonaliseerde advertenties voor zonder dat het hiervoor expliciet om toestemming had gevraagd. Het Amerikaanse technologiebedrijf laat in een eerste reactie weten de boete aan te vechten.
De Ierse toezichthouder kondigt de boete aan via een persverklaring (1).
Meta is een bedrijf dat groot is geworden door gepersonaliseerde advertenties te verkopen. Om dergelijke advertenties aan te bieden, verzamelt het bedrijf sinds jaar en dag persoonlijke informatie van Facebook- en Instagram-gebruikers. Door akkoord te gaan met de algemene voorwaarden, stemden leden daarmee in.
In mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Op dat moment ontving de DPC twee klachten over Meta, waaronder eentje van de Oostenrijkse privacyorganisatie Noyb. Essentie van de klacht was dat Meta niet op de juiste manier toestemming verkreeg voor het verzamelen van gebruikersgegevens. Volgens de Europese privacyregels moest het techbedrijf hiervoor expliciet om toestemming vragen.
In plaats van een opt-in te introduceren aan Facebook- en Instagram-gebruikers, voegde Meta een toestemmingsclausule toe aan de gebruikersvoorwaarden. In feite zei het bedrijf dat online tracking en het aanbieden van gerichte advertenties onderdeel uitmaken van de diensten die Meta levert. Door actief te zijn op de online platforms, gingen gebruikers hiermee akkoord.
In december 2022 oordeelde de European Data Protection Board (EDPB), waarin alle nationale privacytoezichthouders in de EU zijn vertegenwoordigd, dat deze ‘contractuele noodzaak’ illegaal is. Dit advies werd voorgelegd aan de DPC. De Ierse privacywaakhond laat vandaag weten de bevindingen van de Europese koepelorganisatie over te nemen.
De uitspraak is opvallend: eerder was de toezichthouder van mening dat de werkwijze van Meta legaal was. Daar komt de DPC nu dus op terug. Facebook krijgt een boete van 210 miljoen euro wegens het schenden van de Europese privacyregels voor het aanbieden van gepersonaliseerde advertenties. Instagram moet een bedrag van 180 miljoen euro op tafel leggen.
Meta krijgt drie maanden de tijd om de wijze waarop het gebruikersgegevens verzamelt aan te passen.
De Oostenrijkse privacystichting Noyb is blij met de uitspraak van de DPC. Max Schrems, voorzitter van Noyb, noemt het vonnis “een enorme klap voor de winsten van Meta in de EU”. “Mensen moet nu worden gevraagd of ze willen dat hun gegevens worden gebruikt voor advertenties of niet. Ze moeten een ‘ja of nee’ optie hebben en kunnen op elk moment van gedachten veranderen. Het besluit zorgt ook voor een gelijk speelveld met andere adverteerders die ook opt-in toestemming moeten krijgen”, aldus Schrems in een statement (2).
Meta is het niet eens met de beslissing en zegt in beroep te gaan tegen de beslissing van de Ierse toezichthouder. “We zijn er sterk van overtuigd dat onze aanpak de Europese privacywetgeving respecteert, die een reeks juridische grondslagen formuleert waaronder gegevens mogen worden verwerkt zonder instemming van gebruikers. We willen gebruikers en bedrijven geruststellen dat ze kunnen blijven profiteren van gepersonaliseerde reclame in de hele EU via de platforms van Meta”, zo zegt het bedrijf in een verklaring tegenover persbureau Reuters (3).
Het is niet de eerste boete die Meta krijgt van de Ierse privacywaakhond. In september 2021 kreeg WhatsApp te horen dat het een bedrag van 225 miljoen euro moest betalen voor het overtreden van de Europese privacywet- en regelgeving. Een jaar later legde de DPC een boete van 405 miljoen euro op aan Instagram voor het onzorgvuldig omspringen van gegevens van kinderen.
Tot slot kreeg Facebook in november 2022 een boete van 265 miljoen euro voor een datalek dat begin 2021 aan het licht kwam. Hackers slaagden er toen in om de persoonsgegevens van 533 miljoen Facebook-gebruikers buit te maken. Het ging om voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en datums waarop accounts zijn aangemaakt.
Bij elkaar opgeteld komen de boetes van Meta uit op bijna 1,3 miljard euro.
https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland
https://noyb.eu/nl/breaking-meta-verbiedt-gebruik-van-persoonsgegevens-voor-reclame
https://www.reuters.com/technology/irish-privacy-regulator-fines-meta-more-than-400-mln-2023-01-04/
