Facebook Ierland handelde onrechtmatig bij verwerking persoonsgegevens Nederlandse gebruikers

Facebook Ierland heeft de wet overtreden bij de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers in de periode van 1 april 2010 tot 1 januari 2020. Dat oordeelde de rechtbank Amsterdam vandaag.

Persoonsgegevens van gebruikers werden verwerkt voor advertentiedoeleinden, terwijl dat in dit geval niet mocht. Ook zijn persoonsgegevens aan derden gegeven zonder dat gebruikers hierover goed waren geïnformeerd en zonder dat daarvoor een basis bestond in wet- en regelgeving.

De Data Privacy Stichting, een collectieve actie-organisatie, had de zaak aangespannen tegen drie bedrijven uit het Facebookconcern.

De rechtbank beperkt de veroordeling tot het handelen van Facebook Ierland, omdat alleen zij verantwoordelijk is voor de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers.

Facebook Ierland verwerkte persoonsgegevens voor advertentiedoeleinden zonder dat daar een rechtsgeldige grondslag – zoals bijvoorbeeld toestemming – voor was. Die rechtsgeldige grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden, zoals seksuele voorkeur of religie. Het ging hierbij zowel om persoonsgegevens die gebruikers zelf verstrekten, als bijzondere persoonsgegevens die door Facebook Ierland werden verkregen door het volgen van het surfgedrag van Facebookgebruikers buiten de Facebookdienst.

Verder heeft Facebook Ierland de Facebookgebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal derde partijen. Hierbij zijn niet alleen persoonsgegevens van de Facebookgebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebookvrienden.

De rechtbank oordeelde dat het plaatsen van cookies op websites van derden niet onrechtmatig was. De verplichting om gebruikers over het plaatsen van cookies te informeren en toestemming te vragen droeg Facebook Ierland over aan de betreffende website exploitant, en dat mocht volgens de rechtbank.

In deze procedure kon nog geen schadevergoeding worden gevorderd. Moederbedrijf Meta heeft al laten weten in beroep te gaan.

De Consumentenbond en DPS beginnen direct een nieuwe zaak tegen Facebook, omdat dat jarenlang gegevens van Nederlandse gebruikers naar Amerika verzond om daar op te slaan.

Het Europese Hof van Justitie oordeelde tot twee keer toe dat de techreus met het doorsturen van gegevens in strijd met de AVG handelde. Desondanks bleef Facebook persoonsgegevens van zijn Europese gebruikers doorsturen naar de VS, waar ze toegankelijk waren voor Amerikaanse inlichtingendiensten. Dat is volgens de beide organisaties een grove schending van de privacy.

Consumenten in Nederland die tussen 1 april 2010 en 1 januari 2020 een Facebookaccount hadden en in aanmerking willen komen voor een schadevergoeding voor het gebruik van hun gegevens van Facebook kunnen zich aanmelden bij de Consumentenbond.

Consumenten die na 25 mei 2018 een Facebook- of Instagramaccount hadden en compensatie willen claimen voor het doorsturen van gegevens naar Amerika kunnen zich hier ook aanmelden. Consumenten kunnen zich voor één of beide claims aanmelden.