Afgelopen woensdag – 15 maart 2023 - is er een zeer relevante uitspraak inzake Facebook gepubliceerd, van de rechtbank Amsterdam. Het betreft een collectieve actie die nog is gevoerd onder het oude collectieve actierecht van voor 1 januari 2020, van voor de WAMCA. Alhoewel er (mede) daarom geen schadevergoeding is gevorderd of toegekend, is deze zaak niet minder belangrijk en kan deze zaak het beginpunt vormen van andere collectieve acties waarbij wél schadevergoeding wordt gevorderd. De zaak is verder interessant vanwege onder meer de volgende punten:
In de evaluatie van de UAVG (1) kwam naar voren dat de UAVG geen omkering van de bewijslast kent. Dit betekent dat als uitgangspunt geldt dat het bewijsrisico bij betrokkene ligt om bewijs naar voren te brengen waaruit blijkt dat de AVG is overtreden. In de evaluatie kwam naar voren dat dit met name lastig kan zijn in het kader van het aantonen van inbreuken op de regels omtrent geautomatiseerde besluitvorming.
In deze uitspraak (2) neemt de rechtbank echter wél een omkering van de bewijslast aan: “Naar het oordeel van de rechtbank volgt hieruit dat de Wbp en de AVG een van de hoofdregel van artikel 150 Rv afwijkende regel van bewijslast bevatten, ook op het punt van het al dan niet voldoen aan de informatieplichten van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG. Alhoewel dit in de Wbp minder expliciet is verwoord dan in de AVG, volgt dit ook uit het transparantievereiste. De betrokkene kan alleen dan zijn rechten onder de wet verwezenlijken indien hij op de hoogte is van de verwerking. Het is aan de verwerkingsverantwoordelijke om te bewijzen dat de gegevensverwerking rechtmatig is. Daartoe behoort ook dat de betrokkene vooraf voldoende geïnformeerd wordt over de gegevensverwerking. Op Facebook Ierland – in wier domein zich de betreffende feitelijke gegevens ook hoofdzakelijk bevinden – rust dus de bewijslast dat zij heeft voldaan aan haar informatieverplichtingen.”
Uit de rechtspraak van het HvJ EU alsook de geüpdate guidance van de Europese privacytoezichthouders over privacyposities, weten we dat gezamenlijke verwerkingsverantwoordelijkheid al snel moet worden aangenomen (3). Er is sprake van gezamenlijke verwerkingsverantwoordelijkheid bij gezamenlijke deelname aan de vaststelling van het doel en de middelen. Gezamenlijke deelname kan daarbij bijvoorbeeld de vorm aannemen van een door twee of meer entiteiten genomen gezamenlijk besluit of het resultaat zijn van convergerende beslissingen van twee of meer entiteiten met betrekking tot het doel en de wezenlijke middelen.
Toch wordt er in deze uitspraak echter juist geen gezamenlijke verwerkingsverantwoordelijkheid aangenomen: “In ieder geval kan Facebook Ierland als verwerker respectievelijk verwerkingsverantwoordelijke worden aangemerkt. Facebook Ierland moet immers worden beschouwd als degene die primair het doel van en de middelen voor de verwerking van de persoonsgegevens van de Nederlandse Facebookgebruikers vaststelt. Dat volgt ook uit verschillende (beleids)documenten en overeenkomsten. […] Naar het oordeel van de rechtbank volgt uit de door de Stichting aangevoerde omstandigheden niet dat Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijken voor de in het geding zijnde periode zijn. Uit al deze algemene stellingen blijkt namelijk onvoldoende duidelijk op welke concrete verwerkingen de Stichting het oog heeft en op welke wijze Facebook Inc. respectievelijk Facebook Nederland voor de betreffende verwerkingen dan (mede) de middelen en het doel vaststelt.”
De verwerkingsgrondslag “uitvoering van de overeenkomst” moet strikt worden geïnterpreteerd. Toch zien we steeds vaker dat partijen deze grondslag iets ‘creatiever’ toepassen. Dit wort wellicht mede ingegeven door de strikte normuitleg van de Autoriteit Persoonsgegevens over de grondslag “gerechtvaardigd belang”.
In deze uitspraak wordt echter wederom bevestigd dat de verwerkingsgrondslag “uitvoering van de overeenkomst” niet mag worden opgerekt, en zeker niet voor verwerking voor advertentiedoeleinden kan worden ingezet: “De conclusie is daarom dat de verwerking van persoonsgegevens voor advertentiedoeleinden niet noodzakelijk is voor de uitvoering van de overeenkomst tussen Facebook Ierland en een gebruiker van de Facebookdienst. ”
Toestemming kan alleen als verwerkingsgrondslag dienen als geldige toestemming is verkregen. Eén van de vereisten voor geldige toestemming is een actieve handeling waaruit iemands wilsuiting tot het verlenen van toestemming blijkt. En “De bevestiging iets te hebben gelezen, is niet, althans niet zonder meer, aan te merken als een akkoordverklaring met de inhoud daarvan”.
In deze uitspraak is daarom expliciet aangegeven dat het vragen van een leesbevestiging voor een Gegevensbeleid (waarin de toestemmingstekst is opgenomen), geen geldige toestemming oplevert: “De vraag die moet worden beantwoord, is of de leesbevestiging die Facebook Ierland in periode A bij registratie van haar gebruikers heeft verkregen, kan worden aangemerkt als een rechtsgeldige toestemming voor de verwerking van persoonsgegevens voor advertentiedoeleinden. De rechtbank beantwoordt die vraag ontkennend. […]”
Ook als toestemming wordt weggemoffeld via de gebruiksvoorwaarden, levert dit geen geldige toestemming op: “Deze indirecte en verhulde manier van het trachten te verkrijgen van instemming voldoet ook niet aan de eisen dat de gevraagde toestemming voldoende specifiek en op informatie gebaseerd moet zijn. De algemeen geformuleerde ‘instemming’ aan het slot van de Gebruikersvoorwaarden is eenvoudigweg niet specifiek genoeg.”
Volgens de Autoriteit Persoonsgegevens kan een louter commercieel belang per definitie niet als gerechtvaardigd belang dienen. Of over dat klopt (m.i. niet), liggen nu prejudiciële vragen voor bij het HvJ U. De rechtbank is echter zo pragmatisch om hier een schot voor de boeg te nemen, hetgeen zeer bruikbaar is ook totdat het HvJ EU iets van zich laat horen op dit vlak (als zij dit nodig acht). De rechtbank geeft namelijk expliciet aan hier geen probleem te zien: “Anders dan de Stichting heeft betoogd, ziet de rechtbank overigens vooralsnog geen reden om aan te nemen dat commerciële belangen niet als een gerechtvaardigd belang in de zin van artikel 7 onder f van de Privacyrichtlijn en artikel 8 aanhef en onder f Wbp zouden kunnen worden aangemerkt. Uit de rechtspraak van het HvJ EU blijkt dat niet en uit het advies van WP29 evenmin. Integendeel, in het WP29-advies worden ook economische belangen van ondernemingen als voorbeeld genoemd.”
Verder wordt hier geen gerechtvaardigd belang aangenomen voor verwerking voor advertentiedoeleinden: “Als tweede voorwaarde geldt dat voldaan moet zijn aan het noodzakelijkheidsvereiste. […] Facebook Ierland is in haar stellingname niet kenbaar ingegaan op de eisen van proportionaliteit en subsidiariteit. […] Nu niet voldaan is aan de tweede voorwaarde van artikel 8 aanhef en onder f Wbp behoeft de derde voorwaarde geen bespreking meer. De conclusie is dat niet is komen vast te staan dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was voor een gerechtvaardigd belang van Facebook Ierland.”
In de praktijk is niet altijd iedereen het eens over in hoeverre de verplichtingen onder art. 11.7 Tw dienen of kunnen worden doorgelegd aan de website beheerder (publisher). Alhoewel de rechtbank hier niet aanneemt dat FB zich hier kan beroepen op een privacyrechtelijke grondslag voor verdere verwerking, wordt wel aangenomen dat cookie-verplichtingen kunnen worden doorgelegd. Ook wordt nog eens bevestigd dat de partij voor wie de cookies worden geplaats, daarvoor de verwerkingsverantwoordelijke is: “De verplichtingen op grond van artikel 11.7a Tw rusten op degene die verantwoordelijk is voor het plaatsen van gegevens in de randapparatuur en het verkrijgen van toegang tot de in de randapparatuur opgeslagen gegevens. Ook in het geval van third-party cookies is Facebook Ierland verantwoordelijk. De cookies worden immers geplaatst op de website van de derde op haar verzoek. De adverteerder kan evenwel met de betreffende website-exploitant overeenkomen dat de verplichtingen uit hoofde van artikel 11.7a Tw door de websitebeheerder worden uitgeoefend. […] Het voorgaande laat onverlet dat Facebook Ierland bij de verwerking van persoonsgegevens die zij krijgt door het gebruik van cookies moet voldoen aan de voorschriften van de AVG en de Wbp. Dat betekent dat voor die via cookies verkregen persoonsgegevens een rechtsgeldige verwerkingsgrondslag moet bestaan. Zoals hiervoor in de hoofdstukken 12 en 13 is geoordeeld, had Facebook Ierland geen geldige verwerkingsgrondslag voor de verwerking van (gewone en bijzondere) persoonsgegevens voor advertentiedoeleinden. Dat oordeel geldt ook voor zover die persoonsgegevens zijn verkregen en/of verwerkt door middel van cookies.”
1) https://repository.wodc.nl/bitstream/handle/20.500.12832/3193/3249-bescherming-gegeven-volledige-tekst.pdf?sequence=1&isAllowed=y
2) https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:1407
3) https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_nl.pdf
KENNISBANK