Op 26 februari gaf een federale rechter van het Northern District of California zijn definitieve goedkeuring voor een schikking van $650 miljoen. Dit was in reactie op de claim dat Facebook zonder toestemming gezichtsgegevens van gebruikers verzamelde en opsloeg. Ruim 1,5 miljoen Facebookgebruikers uit Illinois diende een claim in. Zij ontvangen elk minstens $345.
Aanvankelijk was Facebook bereid tot een betaling van $550 miljoen. Nadat de rechter aangaf dit bedrag ontoereikend te vinden, werd de schikking met $100 miljoen verhoogd.
Collectieve actie in verband schending privacywetgeving
De schikking is de uitkomst van een in 2015 ingestelde collectieve actie. Facebook zou de Illinois Biometric Information Privacy Act (BIPA) hebben geschonden. Het social media bedrijf maakt sinds 2011 gebruik van gezichtsherkenningstechnologie om gebruikers te kunnen `taggen´. In dat kader worden gezichtsgegevens verwerkt, terwijl gebruikers daar volgens de eisers nooit toestemming voor hebben gegeven. Daarnaast heeft Facebook verzuimd hen te informeren over de bewaartermijn.
Bovenop het bedrag van $650 miljoen voor het schikkingsfonds, zal Facebook $97,5 miljoen aan advocatenkosten moeten betalen. De op $915.500 begrote proceskosten worden verrekend uit het schikkingsfonds.
Daarnaast moet Facebook een niet-geldelijke voorziening treffen. De deal omvat namelijk ook dat zij alle standaardinstellingen voor gezichtsherkenning op `uit‘ zet en bestaande gezichtsgegevens wist, tenzij hiervoor uitdrukkelijk toestemming is gegeven. Tot slot worden gezichtsgegevens verwijderd indien gebruikers gedurende drie jaar inactief zijn op Facebook.
Schikking te laag?
De BIPA kent boetes van $1.000 voor elke nalatige overtreding en $5.000 voor elke bewuste overtreding. Met 7 miljoen Facebook-gebruikers in Illisnois, had de potentiële aansprakelijkheid in theorie dus kunnen oplopen tot 47 miljard dollar. Er gingen dan ook stemmen op dat het uiteindelijke schikkingsbedrag veel te bescheiden zou zijn.
De rechter overwoog hiertoe echter dat deze bezwaarmakers geen rekening hielden met de risico’s die de eisers zouden lopen als de zaak wel door zou gaan. Zo had het Hooggerechtshof zijn bevinding dat een privacyschending tot concrete schade leidt, kunnen vernietigen. Daar voegde hij aan toe dat een bedrag van miljarden dollars ook het risico inhoudt dat een rechter dit niet in verhouding acht tot de schade die de leden van een groep hebben geleden. Dit laatste zou wat mij betreft naar Nederlands schadevergoedingsrecht niet relevant mogen zijn. Schade is tenslotte schade. Dat er een groot aantal gedupeerden is doet daar niets aan af.
Collectieve acties in Nederland
Deze uitspraak omvat één van de grootste privacy gerelateerde schikkingen tot nu toe. De schikking kan dan ook worden beschouwd als een overwinning voor zowel de privacy als consumenten. Er gebeurt veel op het gebied van privaatrechtelijke handhaving wegens schending van privacywetgeving, ook in Nederland. Zo is – met de komst van de AVG en de Wet afwikkeling massaschade in collectieve actie (de WAMCA) – ook in Nederland de weg vrij voor privacy gerelateerde collectieve schadeclaims. De WAMCA trad op 1 januari 2020 in werking en het Register voor collectieve vorderingen telt inmiddels al een aantal van deze vorderingen.