Onderzoek Autoriteit Persoonsgegevens
Uit onderzoek van de Autoriteit Persoonsgegevens (AP) naar de verwerking van persoonsgegevens door Facebook voor advertentiedoeleinden, is gebleken dat Facebook in strijd handelt met de Wet bescherming persoonsgegevens (Wbp). De AP heeft dit geconcludeerd naar aanleiding van onderzoek naar de verwerking van persoonsgegevens van ongeveer 9,6 miljoen Nederlandse Facebook gebruikers.
Bedrijfsmodel
Facebook is gratis voor haar gebruikers. Haar bedrijfsmodel is gebaseerd op inkomsten uit gerichte advertenties. Facebook stelt adverteerders in staat heel specifieke doelgroepen te selecteren, welke zijn gebaseerd op de interesses en het gedrag van gebruikers van Facebook. Uit het privacybeleid van Facebook blijkt dat interesses van gebruikers worden afgeleid uit de gegevens die zij met andere mensen delen via Facebook, denk aan profielinformatie, de inhoud van berichten, foto’s en locatiegegevens. De AP heeft geconcludeerd dat Facebook haar gebruikers in totaal op de volgende zeven verschillende punten niet goed of niet volledig informeert met betrekking tot de verwerking van persoonsgegevens voor advertentiedoeleinden. De conclusies van de AP staan hieronder kort samengevat.
Wijze van informeren
Op grond van artikel 33 en 34 van de Wet bescherming persoonsgegevens (Wbp) is een verantwoordelijke, Facebook in dit geval, verplicht op eigen initiatief de betrokkene, zijnde de gebruikers van Facebook, op de hoogte te stellen van het feit dat persoonsgegevens van deze betrokkene worden verwerkt. Op deze manier is de betrokkene namelijk in staat te volgen hoe gegevens over hem worden verwerkt en kunnen eventueel maatregelen worden getroffen om bepaalde vormen van verwerking of onrechtmatig gedrag van de verantwoordelijke tegen te gaan. Informatie over welke soorten gegevens Facebook gebruikt voor advertentiedoeleinden staat niet op een centrale plek, maar is verspreid over allerlei bronnen. Hierdoor krijgen gebruikers geen duidelijk en begrijpelijk overzicht van wat Facebook met hun gegevens doet. Facebook is derhalve niet transparant tegenover haar gebruikers en handelt hierdoor in strijd met de artikelen 33 en 34 van de Wbp.
Geen overzicht soort persoonsgegevens
Facebook dient op grond van artikel 33 lid 3 en artikel 34 lid 3 van de Wbp haar gebruikers nadere informatie te verstrekken met betrekking tot de aard van de verwerkte gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, zodat tegenover de gebruiker een behoorlijke en zorgvuldige verwerking van persoonsgegevens kan worden gewaarborgd. Facebook verstrekt betrokkenen geen overzicht van de soorten persoonsgegevens die worden verwerkt voor advertentiedoeleinden. In het gegevensbeleid van Facebook staat enkel dat zij ‘De gegevens in ons bezit’ gebruik voor advertentiedoeleinden. Wat wordt verstaan onder ‘gegevens in ons bezit’ is echter volstrekt onduidelijk. Hierdoor handelt Facebook in strijd met de Wbp.
Bijzondere persoonsgegevens
Facebook informeert haar gebruikers niet via haar algemene voorwaarden, gegevensbeleid en cookiebeleid dat bijzondere persoonsgegevens over seksuele geaardheid worden verwerkt voor advertentiedoeleinden, terwijl dit wel het geval is (was). Facebook zou inmiddels zijn gestopt met het verwerken van deze persoonsgegevens. Het is onduidelijk of Facebook ook andere bijzondere persoonsgegevens uit de inhoud van profielen gebruikt voor advertentiedoeleinden. Naast persoonsgegevens betreffende iemands seksuele geaardheid, worden ook persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakbond of strafrechtelijke gegevens gekwalificeerd als bijzondere persoonsgegevens (zie artikel 16 Wbp). Verwerking van bijzondere persoonsgegevens is verboden, tenzij sprake is van een uitzondering. Uitzonderingen op het verbod tot verwerking van bijzondere persoonsgegevens zijn opgenomen in de artikelen 17 tot en met 23 van de Wbp. In het geval van Facebook zijn er twee mogelijke uitzonderingen op verbod tot verwerking van bijzondere persoonsgegevens, te weten uitdrukkelijke toestemming van gebruikers of duidelijke openbaarmaking van gebruikers zelf. Beide uitzonderingen zijn hier niet van toepassing, omdat Facebook niet om uitdrukkelijke toestemming vraagt en gebruikers deze gegevens niet uit zichzelf openbaar maken. Bij het aanmaken van een Facebook-account worden allerlei vragen, waaronder seksuele voorkeur, gesteld. Uit de wetsgeschiedenis is gebleken dat de uitzondering het verwerkingsverbod niet van toepassing is als een verantwoordelijke zelf om deze informatie vraagt. Daarom kan geconcludeerd worden dat Facebook bij het verwerken van bijzondere persoonsgegevens in strijd met de wet handelt.
Verwerking van locatiegegevens
Facebook informeert adverteerders dat zij de locatiegegevens van vrienden van haar gebruikers verwerkt voor advertentiedoeleinden, maar informeert de gebruiker hier zelf niet over. Deze gegevens kunnen een indringend beeld geven van iemands gedrag en belangstelling, en hebben daardoor een grote impact op de gebruikers. Hierdoor kan Facebook een vergaande inbreuk maken op de privacy van haar gebruikers.
Surfgedrag en appgebruik buiten Facebook
Uit het onderzoek van de AP is gebleken dat Facebook niet alleen binnen de Facebook-omgeving, maar ook met behulp van cookies informatie verzamelt over het surfgedrag van haar gebruikers via talloze websites in Nederland, waaronder meer dan de helft van de 500 best bezochte websites vanuit Nederland. Veel van deze websites bevatten een ‘vind ik leuk’ knop, maar ook via andere technieken worden gegevens van bezoekers verzameld. Cookies worden ook al uitgelezen als gebruikers niet op een ‘vind ik leuk’ knop klikken, en zelfs als de gebruiker uitgelogd is bij Facebook.
Onjuiste informatie over toestemming
Facebook vraagt haar gebruikers geen specifieke, dus aparte, toestemming om (bijzondere) persoonsgegevens te verwerken voor advertentiedoeleinden. Toestemming kan op grond van de wetsgeschiedenis, jurisprudentie en uit de opinie van de Artikel 29-werkgroep over toestemming, niet worden verkregen via (herziene) algemene voorwaarden. Derhalve kwalificeert het door Facebook gebruikte begrip ‘toestemming’ in de algemene voorwaarden en het gegevensbeleid niet als toestemming als bedoeld in artikel 1, onder i, van de Wbp. Omdat Facebook haar gebruikers onvoldoende informeert over de begrippen ‘toestemming’ en ‘akkoord’, handelt Facebook in strijd met artikel 33 en 34 van de Wbp. Betrokkenen worden daardoor onvoldoende in staat gesteld zeggenschap uit te oefenen over de vraag of zij (nog langer) van de diensten van Facebook gebruik willen maken.
Controlemogelijkheden
Facebook informeert haar gebruikers via haar cookiebeleid van 27 mei 2015 over het bestaan van zes verschillende mogelijkheden waarmee gebruikers het tonen van gerichte advertenties op basis van hun surfgedrag en appgebruik buiten Facebook om kunnen beïnvloeden. Facebook heeft haar gebruikers echter niet actief geïnformeerd over deze nieuwe controlemogelijkheden. Derhalve voldoet Facebook niet aan een behoorlijke en zorgvuldige informatievoorziening jegens haar gebruikers.
Afronding
De AP stelt dat Facebook als verantwoordelijke in de zin van de Wbp verplicht is adequate en begrijpelijke informatie te verstrekken over de soorten persoonsgegevens die worden verwerkt en de doeleinden waarvoor deze persoonsgegevens worden verwerkt. Facebook dient derhalve zoveel nadere informatie geven als nodig om tegenover haar gebruikers een behoorlijke en zorgvuldige gegevensbescherming te waarborgen. Facebook heeft essentiële informatie over de soorten persoonsgegevens die door haar worden verwerkt voor advertentiedoeleinden, en nadere informatie over de doeleinden en de impact van deze gegevensverwerking, achterwege gelaten voor haar gebruikers, aldus de AP. Facebook is het niet eens met de bevindingen van de AP en stelt dat de AP niet bevoegd is om hierover te oordelen.