De Ierse gegevensbeschermingsautoriteit beboet Meta met 390 miljoen euro voor illegale gegevensverwerking in advertenties op Instagram en Facebook. Het oordeel is een klap voor de advertentie-inkomsten van de techgigant.
Het Europese hoofdkantoor van Meta ligt in Ierland. De Ierse gegevensbeschermingsautoriteit houdt toezicht op de Europese tak van de organisatie.
In 2018 ontving de toezichthouder twee klachten over de manier waarop Meta persoonsgegevens van Europese Instagram- en Facebook-gebruikers verwerkt. De Ierse gegevensbeschermingsautoriteit startte een onderzoek en bouwde in de afgelopen jaren een zaak op.
Het oordeel werd op 4 januari 2023 bekendgemaakt, meer dan vier jaar na de start van het proces. Meta is schuldig bevonden aan overtredingen van de GDPR. De techgigant ontvangt een boete van 390 miljoen euro. Daarnaast moet Meta zijn gegevensverwerkingsbeleid binnen drie maanden aanpassen.
Overtreding
Het probleem is de grondslag waarop Meta gegevens van Europese Instagram- en Facebook-gebruikers verwerkt. Onder de GDPR moeten organisaties een wettelijke grondslag hebben om persoonsgegevens te verwerken. De bekendste grondslag is ’toestemming’, waarbij gebruikers vrijwillig toestemming geven voor gegevensverwerking.
In de jaren voor de introductie van de GDPR (2018) werd de grondslag door Meta gebruikt. In aanloop naar de introductie van de GDPR wijzigde de techgigant het beleid. Meta veranderde de grondslag van ’toestemming’ naar ‘uitvoering van een overeenkomst’, oftewel ‘contract’.
Organisaties mogen een beroep doen op deze grondslag wanneer de persoonsgegevens van gebruikers verwerkt moeten worden om een afspraak na te leven. Denk aan een bezorgdienst die adresgegevens moet verwerken om een bestelling op de juiste locatie af te leveren.
Meta beweerde dat de persoonsgegevens van Facebook- en Instagram-gebruikers verwerkt moesten worden om de social media-platformen aan te kunnen bieden. De techgigant vroeg geen toestemming meer aan gebruikers. Iedereen die de platformen wilde gebruiken moest een overeenkomst tekenen. Weigeraars kregen geen toegang.
Aanklacht en oordeel
Privacy-activist Max Schrems kwam in opstand tegen de wijziging. Schrems klaagde Meta in 2018 aan bij de Ierse gegevensbeschermingsautoriteit. In de aanklacht beschreef Schrems dat Meta gebruikers indirect forceerde om toestemming te geven voor gegevensverwerking, aangezien gebruikers de platformen niet konden gebruiken zonder de overeenkomst te tekenen.
De klacht leidde tot een onderzoek. De Ierse gegevensbeschermingsautoriteit oordeelde onlangs dat Meta in sommige situaties helemaal geen recht heeft op de grondslag ‘uitvoering van een overeenkomst’.
De techgigant verwerkt gebruikersgegevens onder andere voor gepersonaliseerde advertenties. In het besluit stelt de Ierse toezichthouder dat Meta de grondslag ‘uitvoering van een overeenkomst’ niet mag gebruiken wanneer gegevens voor gepersonaliseerde advertenties worden verwerkt.
Het oordeel is een klap voor Meta. Naast de boete van 390 miljoen euro moet de techgigant binnen drie maanden een nieuwe grondslag doorvoeren voor gegevensverwerking met betrekking tot gepersonaliseerde advertenties.
Het is mogelijk dat Meta overstapt op ’toestemming’. In dat geval lopen de advertentie-inkomsten waarschijnlijk terug. Gebruikers zouden de mogelijkheid krijgen om gegevensverwerking voor gepersonaliseerde advertenties te weigeren. Gepersonaliseerde advertenties zijn over het algemeen winstgevender dan traditionele advertenties.
Tip: Ierland straft Meta voor datalek van meer dan 500 miljoen gebruikers
8 uur geleden
