In dit artikel zet Balder Weening het recente arrest van het Hof van Justitie inzake Schrems tegen Meta uiteen en gaat hij in op de rechten van betrokkenen onder de AVG. Hierbij legt hij uit hoe deze rechten in de praktijk worden geïnterpreteerd door Meta. Verder analyseert hij hoe de rechter deze rechten uitlegt. Weening eindigt het artikel met een korte uitweiding over wat de uitleg van het Europees Hof van Justitie betekent voor rechten van betrokkenen.
De Oostenrijkse Max Schrems procedeert al jaren tegen het platform Facebook en moederbedrijf Meta. Aanleiding hiertoe is dat hij vindt dat Meta te veel macht heeft en bovendien te veel gegevens verwerkt. Schrems is onder andere bekend als mede-oprichter van de non-profitorganisatie NOYB (none of your business); welke organisatie zich inzet om de rechten van betrokkenen onder de AVG te beschermen.[1] De zaken Schrems I en Schrems II hebben ervoor gezorgd dat eerst de Safe Harbor-constructie en later ook de Privacy Shield-constructie, welke werden gebruikt om een aan de AVG vergelijkbaar niveau aan bescherming van persoonsgegevens bij uitwisselingen naar de Verenigde Staten, ongeldig werden verklaard. Afgelopen 4 oktober heeft het Hof van Justitie van de Europese Unie (hierna: HvJ EU) zich opnieuw over een zaak van Schrems gebogen; deze keer over het verzamelen van bijzondere persoonsgegevens en het daarop gericht adverteren door Meta. De vraag in deze zaak is of Schrems bijzondere persoonsgegevens kennelijk zelf openbaar heeft gemaakt, waardoor Meta deze gegevens rechtmatig zou hebben verkregen en daarmee voor eigen advertentiedoeleinden in mag zetten.
De AVG geeft normen voor het inrichten van een rechtmatige verwerking van persoonsgegevens. Zo mogen persoonsgegevens bijvoorbeeld alleen worden verwerkt voor een vooropgesteld doel met een verwerkingsgrondslag. Ook mogen nooit meer persoonsgegevens worden verwerkt dan noodzakelijk en mogen deze gegevens nooit langer dan noodzakelijk bewaard worden. Bovendien moet een verwerking proportioneel zijn; de inbreuk op de rechten en vrijheden van personen mag niet onevenredig groot zijn in relatie tot het doel van de verwerkingsverantwoordelijke.
Teneinde gegevens op een rechtmatige manier te mogen verwerken dient dus eerst sprake te zijn van een verwerkingsgrondslag. Artikel 6 van de AVG bevat deze grondslagen, waarvan ‘toestemming’ (artikel 6 lid 1 onder a AVG) de meest bekende is. Daarnaast is ‘uitvoering van een overeenkomst’ (artikel 6 lid 1 onder b AVG) een belangrijke grondslag. Een voorbeeld van toestemming is het maken van foto’s waarop betrokkenen herkenbaar in beeld worden gebracht tijdens een evenement en een voorbeeld van het uitvoeren van een overeenkomst is het verwerken van adresgegevens om een betrokkene een factuur te kunnen sturen voor een op een website gekocht product.
Naast dat er sprake moet zijn van een verwerkingsdoel, dienen de beginselen inzake verwerking van persoonsgegevens in acht te worden genomen. Deze beginselen zijn cumulatief van toepassing. Dataminimalisatie of het beginsel van minimale gegevensverwerking is een verplichting, opgenomen in artikel 5 lid 1 onder C van de AVG. Deze verplichting houdt in dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Gedacht kan worden aan het verwerken van de geboortedatum van een klant. Als een klant op een website een bos bloemen voor een vriendin wil kopen, is het verwerken van de geboortedatum van de klant niet strikt noodzakelijk. Dit is anders wanneer de klant bijvoorbeeld een leeftijdsgebonden product zoals een fles wijn wil kopen.[2]
Het verwerken van bijzondere persoonsgegevens in de zin van artikel 9 AVG (en paragraaf 3.1 van de Uitvoeringswet AVG) is in beginsel verboden. Mocht het toch noodzakelijk zijn om dergelijke bijzondere persoonsgegevens te verwerken, dan zijn de vereisten aan een rechtmatige verwerking aanzienlijk strenger. Bijzondere persoonsgegevens zijn gegevens die betrekking hebben op bijvoorbeeld ras, etnische afkomst, gezondheidsgegevens, politieke opvattingen, religieuze opvattingen, genetische en biometrische gegevens en gegevens die betrekking hebben op iemands seksuele gerichtheid.
Op dit verbod bestaan wel uitzonderingen, welke zijn vastgelegd in artikel 9 lid 2 AVG en artikel 22 lid 2 van de Uitvoeringswet AVG. Zo is verwerking van bijzondere persoonsgegevens toch toegestaan wanneer deze persoonsgegevens kennelijk door de betrokkene openbaar zijn gemaakt. Dit vereist wel een uitdrukkelijke, ondubbelzinnige en actieve handeling van de betrokkene. Gegevens zijn daarom bijvoorbeeld niet kennelijk door een betrokkene openbaar gemaakt wanneer de betrokkene enkel een website bezoekt.[3]
Meta verwerkt persoonsgegevens van inwoners van de Europese Unie. Vanaf 6 november 2023 zijn de diensten van Meta uitsluitend gratis te gebruiken voor betrokkenen die ermee instemmen dat hun persoonsgegevens worden gebruikt om onder andere gepersonaliseerde reclame tot hen te richten. Voor gebruikers die hiermee niet instemmen, bestaat de mogelijkheid om tegen betaling toegang te krijgen tot Meta zonder dat hun gegevens worden gebruikt voor gepersonaliseerde reclame.[4] Dit is een gevolg van een eerdere uitspraak van de Duitse markttoezichthouder tegen Meta, waarin gehakt wordt gemaakt van het gerechtvaardigd belang als verwerkingsgrondslag.[5]
Het is niemand onbekend dat Meta geld verdient door de verkoop van persoonsgegevens. Het proces is als volgt ingericht: allereerst gebruikt meta onder andere cookies, sociale plug-ins en pixels, bijvoorbeeld in de vorm van de bekende ‘vind ik leuk’-knop,[6] om allerlei soorten gegevens van internetgebruikers te verzamelen. Met deze gegevens wordt een profiel van de betrokken personen opgebouwd. Vervolgens wordt dit profiel in real time verkocht aan de adverteerder met het hoogste bod. Ook van Schrems kon op deze wijze een profiel worden opgebouwd, waarbij tevens bijzondere persoonsgegevens werden verzameld. [7]
Schrems geeft aan dat hij Meta geen toestemming heeft verleend voor de verwerking van zijn persoonsgegevens over activiteiten buiten Meta met het oog op het weergeven van gepersonaliseerde reclame. Schrems heeft daarnaast geen bijzondere persoonsgegevens op zijn Facebookprofiel vermeld. Ook kunnen alleen zijn vrienden activiteiten of informatie op zijn tijdlijn bekijken en staat zijn lijst van vrienden niet op openbaar.[8]
Toch blijkt Meta echter over veel gegevens en juist de seksuele voorkeur-gegevens te beschikken. Kennelijk heeft meta alsnog wel, in weerwil van de profielinstellingen, tracking-methodieken toegepast. Meta kan namelijk belangstelling van Schrems vaststellen voor gevoelige onderwerpen zoals seksuele geaardheid, waardoor Meta gerichte reclame aan Schrems kan voorstellen. Dit heeft Meta ook gedaan: vast staat dat Schrems regelmatig op homoseksuelen gerichte advertenties heeft ontvangen. Deze advertenties zijn niet rechtstreeks op de seksuele geaardheid van Schrems gericht, maar op een analyse van interesses. In dit geval zou één van de vrienden van Schrems op de ‘vind ik leuk’-knop hebben geklikt van een bepaald product, waaruit Meta kennelijk conclusies kon trekken over de seksuele geaardheid van Schrems.[9]
Het is van belang om te weten dat Schrems publiekelijk communiceert over het feit dat hij homoseksueel is. Dit heeft hij echter nooit op Facebook vermeld.[10] Het is daarom erg opmerkelijk dat Meta over een dergelijk bijzonder persoonsgegeven beschikt omdat hij toch advertenties, gericht op een homoseksueel publiek, te zien kreeg.
Schrems geeft aan dat hij nooit toestemming heeft verleend voor het verwerken van bovenstaande gegevens en dat hiervoor ook geen grondslag bestaat in de uitvoering van de overeenkomst met Meta. Volgens Meta is de verwerking van deze gegevens echter noodzakelijk met het oog op de uitvoering van de met Schrems gesloten overeenkomst.[11] Daarnaast bewaart Meta deze gegevens het liefst zo lang mogelijk. Ook stelt Meta dat Schrems zijn seksuele geaardheid kennelijk zelf openbaar heeft gemaakt.
De vraag in dit geding is hoe het beginsel van minimale gegevensverwerking moet worden uitgelegd. Mag Meta alle persoonsgegevens waarover Meta beschikt, waaronder persoonsgegevens die via sites van derden zijn verkregen, samenvoegen, analyseren en verwerken met het oog op gerichte reclame? En mag dit ook zonder enige beperking met betrekking tot de duur of de aard van de gegevens?[12] Als dit allemaal is toegestaan, zou dat betekenen dat socialemediaplatforms, die sowieso al over erg veel persoonsgegevens beschikken, elk van die afzonderlijke persoonsgegevens ongeremd mogen inzetten voor marketingdoeleinden. Dit lijkt mij een ongewenste situatie omdat tegenwoordig erg veel gebruik wordt gemaakt van gerichte advertenties.
Het HvJ EU bevestigt dat de beginselen uit artikel 5 van de AVG cumulatief van toepassing zijn.[13] De verwerkingsverantwoordelijke is, gelet op het beginsel van minimale gegevensverwerking, verplicht om het tijdvak waarin de gegevens worden verwerkt te beperken tot hetgeen strikt noodzakelijk is voor het doel van de betrokken verwerking.[14] Het kan zelfs zo zijn dat een verwerking die eerst rechtmatig was, na verloop van tijd niet meer rechtmatig is. Dit betekent dat de gegevens moeten worden gewist wanneer de verwerkingsdoeleinden zijn bereikt.[15]
Het HvJ EU maakt erg duidelijk dat een bewaring van de gegevens van een gebruiker van een socialemediaplatform voor onbepaalde tijd met het oog op gerichte reclame, een onevenredige inmenging vormt in de rechten die de AVG aan deze gebruikers verleent.[16] Daarnaast geeft het Hof aan dat het ongedifferentieerde gebruik voor reclamedoeleinden van alle persoonsgegevens in het bezit van een socialemediaplatform, ongeacht de gevoeligheid van deze gegevens, ook een onevenredige inmenging vormt in de rechten uit de AVG voor de gebruikers van het socialemediaplatform.[17]
Gelet op het feit dat Schrems zich tijdens een voor het publiek toegankelijk rondetafelgesprek over zijn seksuele geaardheid heeft uitgelaten, vraagt de Oostenrijkse rechter zich af of artikel 9 van de AVG een exploitant van een socialemediaplatform toestaat om andere gegevens over de seksuele geaardheid van een persoon te verwerken die buiten dat platform zijn verkregen vanuit apps en websites van derden, met het oog op de samenvoeging en analyse daarvan om de betrokkene gepersonaliseerde reclame aan te bieden.[18]
Volgens het HvJ EU verdienen bijzondere persoonsgegevens specifieke bescherming, aangezien de context van de verwerking ervan significante risico’s voor grondrechten en fundamentele vrijheden met zich kan brengen.[19] Voor de verwerking van bijzondere persoonsgegevens dient de exploitant van een socialemediaplatform na te gaan of deze gegevens informatie kunnen onthullen die onder de categorieën van artikel 9 AVG valt. Dit geldt, ongeacht of de informatie betrekking heeft op een gebruiker van het sociale netwerk of op een andere natuurlijke persoon. Als dit het geval is, is de verwerking van deze bijzondere persoonsgegevens in beginsel verboden, tenzij de exploitant aan kan tonen dat de betrokkene deze bijzondere persoonsgegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed publiek toegankelijk heeft willen maken.[20]
In dit geval was de verklaring die Schrems over zijn homoseksuele geaardheid aflegde toegankelijk voor een breed publiek. Het publiek kon een kaartje kopen om persoonlijk bij het rondetafelgesprek aanwezig te zijn. Ook werd het gesprek via streaming uitgezonden. Daarnaast werd een opname van het gesprek gepubliceerd als podcast en als video op YouTube.[21] In deze omstandigheden kan het HvJ EU niet uitsluiten dat de verklaring een handeling is waarmee Schrems zijn seksuele geaardheid met volledige kennis van zaken, kennelijk openbaar heeft gemaakt.[22]
Het is in dit geval niet uitgesloten dat de betrokkene een gegeven betreffende zijn seksuele geaardheid kennelijk openbaar heeft gemaakt. Als dit inderdaad het geval is, mag dit gegeven door Meta worden verwerkt.[23] Echter, uit het feit dat de betrokkene een dergelijk gegeven openbaar heeft gemaakt, kan niet worden afgeleid dat deze persoon ook toestemming in de zin van de AVG heeft verleend voor de verwerking van andere gegevens betreffende zijn seksuele geaardheid door Meta.[24] Voor de verwerking van deze andere gegevens is daarom wel uitdrukkelijke toestemming in de zin van artikel 9 lid 2 onder a AVG vereist.
Uit deze uitspraak komen twee punten naar voren. Allereerst is duidelijk geworden dat de exploitant van een socialemediaplatform niet zomaar alle gegevens die het platform over een betrokkene heeft verzameld, in mag zetten om de betrokkene van gerichte reclame te voorzien, zonder dat de gegevensverzameling in tijd wordt beperkt of enig onderscheid in de aard van deze gegevens wordt gemaakt. Deze situatie zou zich namelijk tegen het beginsel van minimale gegevensverwerking verzetten.
Daarnaast is duidelijk geworden dat het de exploitant van een socialemediaplatform niet is toegestaan om andere gegevens dan de gegevens die kennelijk door de betrokkene openbaar zijn gemaakt over zijn seksuele geaardheid te verwerken. Deze gegevens zijn vaak buiten dat platform zijn verkregen met het enkele doel om de betrokkene gepersonaliseerde reclame aan te bieden.
Het HvJ EU beperkt met deze uitspraak de macht van socialemediaplatforms zoals Meta. Bekend is dat deze platforms ontzettend veel informatie kunnen vergaren uit bijvoorbeeld cookies, plug-ins en pixels.
Ik kan me vinden in deze uitspraak van het HvJ EU. Van gerichte reclame is bijvoorbeeld bekend dat het zelfbeeld van degenen die hieraan worden onderworpen kan veranderen. Mensen voelen zich bijvoorbeeld, al zij het tijdelijk, milieuvriendelijker en hebben ook sneller de neiging om het geadverteerde product te kopen.[25] Wanneer socialemediaplatforms ongeremd van bijzondere persoonsgegevens gebruik mogen maken voor gericht adverteren, waarbij zij ook nog eens niet aan een tijd gebonden zijn, hebben zij een enorm waardevol instrument in handen waar betrokkenen waarschijnlijk niet op zitten te wachten. Met deze uitspraak wordt gericht adverteren weliswaar niet volledig verboden doch deze uitspraak lijkt mij in ieder geval een stap in de goede richting.
De winst van deze uitspraak zit er in mijn optiek in dat we nu weten dat Meta kennelijk bijzondere persoonsgegevens verwerkt, welke met plug-ins kunnen worden afgeleid uit het bezoeken van websites die zich richten op bezoekers met bepaalde politieke oriëntaties of met een bepaalde seksuele geaardheid. We weten in elk geval dat Meta, tenzij de betrokkene deze gegevens kennelijk openbaar heeft gemaakt, niet mag verwerken. Dit is in het oog van de zaak Meta/Bundeskartellamt des te belangrijker, aangezien in deze uitspraak onder andere is besloten dat een commercieel belang slechts onder bepaalde, specifieke omstandigheden een gerechtvaardigd verwerkingsbelang kan vormen.[26] Uit deze eerdere uitspraak blijkt al dat de macht van Meta om profielen van internetgebruikers te verkopen aan banden wordt gelegd. Zo blijkt dat ten aanzien van internetgebruikers die niet zijn ingelogd op Facebook doch waarvan niettemin een profiel met ‘gewone’ persoonsgegevens wordt opgebouwd, afzonderlijke toestemming dient te worden verkregen.[27] De uitspraak van afgelopen 4 oktober verheldert dat de grens om bijzondere persoonsgegevens te mogen verwerken, nog hoger ligt.
Wil je nou zelf voorkomen dat je zomaar gevolgd en geframed wordt, dan zou je de volgende acties kunnen ondernemen. Zo kan je als gebruiker van sociale netwerken bijvoorbeeld cookies (in het geheel of in ieder geval cookies van derden) blokkeren in de browserinstellingen. Daarnaast is het een goed idee om geregeld alle cookies uit de browser te verwijderen. Ook helpt het om anti tracking-plugins te installeren. Een goed voorbeeld daarvan is de EFF Privacy Badger.[28] Deze maatregelen zullen in elk geval voldoen totdat Schrems opnieuw een zaak tegen Meta aanspant in het belang van de grondrechten van internetgebruikers.
[1] ‘About us’, NOYB (https://noyb.eu/en/about-us).
[2] ‘De Avg uitgelegd: privacy by design en privacy by default’, NLdigital, 20 juni 2024 (https://www.nldigital.nl/kennis-producten/de-avg-uitgelegd-privacy-by-design-en-privacy-by-default).
[3] ‘HvJEU geeft belangrijke vuistregels over grondslagen en bijzondere persoonsgegevens’, Dirkzwager, 11 september 2024 (https://www.dirkzwager.nl/kennis/artikelen/hvjeu-geeft-belangrijke-vuistregels-over-grondslagen-en-bijzondere-persoonsgegevens).
[4] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 11.
[5] HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, r.o. 126.
[6] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 16.
[7] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 17.
[8] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 20-21.
[9] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 22-23.
[10] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 25.
[11] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 26-27.
[12] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 34.
[13] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 47-49.
[14] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 52-53.
[15] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 56.
[16] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 58.
[17] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 64.
[18]HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 66.
[19] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 70.
[20] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 72 & 76-77.
[21] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 78.
[22] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 79.
[23] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 80.
[24] HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, r.o. 82.
[25] ‘Targeted Ads Don’t Just Make You More Likely to Buy — They Can Change How You Think About Yourself’, Harvard Business Review, 4 april 2016 (https://hbr.org/2016/04/targeted-ads-dont-just-make-you-more-likely-to-buy-they-can-change-how-you-think-about-yourself).
[26] HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, r.o. 126.
[27] HvJ EU 4 juli 2023, C-252/21, ECLI:EU:C:2023:537, r.o. 151.
[28] Te downloaden op https://privacybadger.org.
