De rechtbank in Brussel heeft op 9 november 2015 in kort geding bepaald dat Facebook moet stoppen met het registreren van het surfgedrag van internetgebruikers uit België zonder Facebook account. Aan de hand van cookies en social media plug-ins was Facebook in staat om ook niet-leden te volgen voor re-marketing doeleinden. Het niet naleven van de uitspraak leidt tot een dwangsom van EUR 250.000,– per dag.
De veroordeling door de Brusselse rechter is een overwinning voor de Belgische Privacycommissie die de rechtszaak heeft aangespannen. De uitspraak biedt bovendien aanknopingspunten voor toezichthouders in andere EU-landen, zoals ons College Bescherming Persoonsgegevens, mochten zij beslissen om Facebook op privacy schending aan te spreken.
De onderstaande beschrijving van de uitspraak is, op een aantal aanpassingen na, overgenomen van de website van de Belgische Privacy Commissie.
Toepasselijk recht
Ten eerste stelt de Rechtbank dat het Belgische recht van toepassing is en dat de Belgische rechtbanken bevoegd zijn. Facebook had zich er op beroepen dat zij in Ierland gevestigd is en zodoende onder het Ierse privacyrecht zou vallen. De Brusselse Rechtbank verwerpt dit verweer met een verwijzing naar het Google Spain-arrest van het Hof van Justitie van 13 mei 2014, dat stelde dat het nationale privacyrecht van een EU-lidstaat van toepassing is als de activiteiten van een lokale vestiging in die lidstaat onlosmakelijk verbonden zijn met de activiteiten van de verantwoordelijke voor de verwerking. De Rechtbank stelt dat dit hier het geval is, omdat in België de vennootschap Facebook Belgium BVBA bestaat en deze lokale vennootschap lobbywerk verricht voor de Facebook-groep en betrokken is in de marketing en verkoop van advertentieruimte van de Facebook-dienst.
De Rechtbank stelt daarbij dat het irrelevant is of de verantwoordelijke voor de verwerking nu Facebook Inc. of Facebook Ireland Limited is, aangezien ook Facebook Ireland Limited deel uitmaakt van het Facebook-concern. De Rechtbank wijst er ook op dat het irrelevant is dat Facebook Belgium BVBA niet zelf persoonsgegevens zou verwerken of niet zelf contracten met adverteerders zou sluiten.
In Nederland heeft het College Bescherming Persoonsgegevens dit uitgangspunt ook toegepast in relatie tot haar onderzoek naar de aangepaste voorwaarden van Facebook.
Spoedeisend belang
Evenals in Nederland is een voorwaarde voor het voeren van een kort geding dat er sprake moet zijn van een spoedeisend belang (hoogdringendheid in België). De Rechtbank in Brussel oordeelt dat van een spoedeisend belang sprake is omdat vorderingen die zien op fundamentele rechten en vrijheden zoals privacy altijd spoedeisend zijn (zeker nu het gaat om fundamentele rechten van een enorme groep personen). Doordat er miljoenen websites zijn met een Facebook social media plug-in is daar bijna niet aan te ontsnappen, aldus de Rechtbank. Relevant in dat kader is dat de gegevens die verzameld worden, zeer gevoelig kunnen zijn (gegevens omtrent de gezondheid of religieuze, seksuele of politieke voorkeuren).
Er is sprake van “persoonsgegevens”
Met behulp van cookies verzamelt Facebook onder meer het IP-adres en een “unique identifier” die in Facebook’s datr-cookie vervat zit. De Rechtbank oordeelt dat dit “persoonsgegevens” zijn en dat de inzameling ervan door Facebook een “verwerking” van persoonsgegevens is. Facebook had geargumenteerd dat dit geen persoonsgegevens zijn omdat ze louter zouden toelaten om een computer te identificeren.
Schending van de Belgische privacywetgeving
De Rechtbank oordeelt vervolgens dat het feit dat Facebook van miljoenen inwoners van België die beslist hebben om geen lid te worden van Facebook’s sociaal netwerk, gegevens over hun surfgedrag inzamelt, een “manifeste” schending van het Belgische privacyrecht is, en dit ongeacht wat Facebook met die gegevens doet na de inzameling ervan.
De Rechtbank wijst er onder andere op dat Facebook geen enkele wettelijke verantwoording kan inroepen voor het verwerken van persoonsgegevens van mensen die geen Facebook-account hebben via cookies en social plug-ins, omdat:
• Facebook geen toestemming daarvoor heeft verkregen;
• Facebook zich niet kan beroepen op een overeenkomst met mensen die geen Facebook-account hebben;
• Facebook zich niet kan beroepen op een wettelijke verplichting;
• het fundamenteel recht op privacy van mensen die geen Facebook-account hebben, zwaarder doorweegt dan het veiligheidsbelang van Facebook.
Bovendien meent de Rechtbank dat Facebook’s verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, ook niet eerlijk en rechtmatig is, omdat hun persoonsgegevens reeds verwerkt worden vooraleer zij zich volledig hebben kunnen informeren over de diensten van Facebook en zelfs zonder dat zij van die diensten gebruik wensen te maken.
Wat betreft het door Facebook ingeroepen veiligheidsargument vindt de Rechtbank het weinig geloofwaardig dat het opvragen van de datr-cookie telkens wanneer een social plug-in op een website laadt, noodzakelijk zou zijn voor de veiligheid van de Facebook-diensten. De Rechtbank stelt dat “zelfs een “digibeet” begrijpt dat de stelselmatige inzameling van de datr-cookie op zich ontoereikend is om de aanvallen waar Facebook van spreekt tegen te gaan omdat criminelen het plaatsen van deze cookie zeer eenvoudig kunnen omzeilen met software die het plaatsen van cookies blokkeert”. Bovendien vindt de Rechtbank dat er minder ingrijpende methodes bestaan om de beoogde beveiliging te realiseren, zodat Facebooks verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, disproportioneel is.
Dwangsom
De Rechtbank legt Facebook een dwangsom op van EUR 250.000 per dag dat zij de veroordeling niet naleeft, omdat het bedrag van de dwangsom voldoende afschrikwekkend moet zijn. De Rechtbank wijst er daarbij op dat Facebook in 2014 een omzet van 12,4 miljard dollar en een winst van 2,9 miljard dollar realiseerde en één van de financieel meest draagkrachtige bedrijven ter wereld is, zodat het bedrag van EUR 250.000 passend is.
Lees hier het volledige persbericht en hier de volledige uitspraak.