Op 13 mei 2015 bracht de Belgische Privacycommissie een aanbeveling uit over het gebruik van de Facebook social plug- ins. Volgens deze aanbeveling schendt de wijze waarop Facebook het gedrag van de internet surfers bijhoudt de Belgische en Europese privacywetgeving. De Privacycommissie dreigt met juridische stappen indien Facebook de aanbeveling naast zich neerlegt.
Inleiding
Facebook ontvangt heel wat informatie over het surfgedrag van de internetgebruikers via social plug-ins op websites, zoals de “Vind ik leuk” of “Delen” knop. Op vraag van de Belgische Privacycommissie werd door de interuniversitaire onderzoeksgroep EMSOC/SPION een diepgaand onderzoek gedaan naar de wijze waarop Facebook omgaat met de persoonsgegevens van haar leden en niet- leden. De resultaten waren onthutsend: Facebook neemt een loopje met de Europese en Belgische privacywetgeving.
De Privacycommissie heeft vastgesteld dat Facebook de persoonsgegevens “verwerkt” van haar leden, gebruikers als elke internetgebruiker die in contact komt met de diensten en producten van Facebook. Zo gebeurt de tracking en tracing via de social plug- ins zonder de voorafgaandelijke (en ondubbelzinnige) toestemming. Verder ontbreekt elke transparantie en verschaft Facebook slechts geringe informatie over wat ze met de verwerkte informatie doet.
Aanbeveling
Op 13 mei 2015 bracht de Privacycommissie een eerste aanbeveling. Deze aanbeveling richt zich tot drie betrokken doelgroepen: (i) Facebook zelf, (ii) de uitbaters en eigenaars van websites die gebruik maken van social plug- ins en tenslotte (iii) de internetgebruikers.
i) Facebook
In haar aanbeveling richt de Privacycommissie zich uitdrukkelijk tot Facebook en stelt zij een aantal punten voorop. Vooreerst mag Facebook slechts de internetactiviteiten van haar gebruikers volgen indien zij de ondubbelzinnige en voorafgaandelijke toestemming van de gebruiker heeft ontvangen. Daarnaast meent de Privacycommissie dat het systematisch verzamelen van informatie via social plug- ins (ook van niet- Facebook leden) buitensporig is, zeker als er geen interactie is met deze social plug- ins.
De aanbeveling stelt verder dat Facebook transparant moet zijn over de informatie die zij verzamelt en niet langer informatie mag verzamelen van niet- leden of van Facebook leden die zijn uitgelogd of hun account hebben opgezegd (tenzij zij daarvoor hebben geopteerd). Tenslotte mag Facebook slechts informatie van haar gebruikers verzamelen via cookies en social plug- ins voor zover dit strikt noodzakelijk is om een gebruiker een specifiek door hem gevraagde dienst te leveren. Andere informatie mag slechts worden verzameld indien en voor zover de gebruiker hiermee heeft toegestemd.
ii) Uitbaters en eigenaars van websites
Volgens de Privacycommissie hebben eigenaars of uitbaters van websites die gebruik maken van de door Facebook aangeboden social plug- ins een verantwoordelijkheid met betrekking tot het gebruik van cookies door middel van social plug- ins op hun website. De eigenaars en uitbaters dienen de bezoekers van hun website behoorlijk te informeren. Bovendien moeten zij ook de toestemming verkrijgen voor cookies en andere metabestanden waarvan zij het hergebruik mogelijk niet beheerst.
De Privacycommissie beveelt dan ook aan om de bezoekers van de website duidelijk in te lichten over het gebruik van de cookies door middel van social plug- ins via het cookiebeleid van de website. Daarnaast valt het ook aan te raden om gebruik te maken van een instrument zoals “Social Share Privacy” om de toestemming van de gebruiker te verkrijgen. Via dergelijk instrument maken plug- ins van derde partijen slechts verbinding met de third party servers nadat de gebruiker de social plug- in heeft aangeklikt.
iii) Internetgebruikers
Internetgebruikers kunnen zich op verschillende manieren beschermen tegen de verzameling van hun surfgedrag:
– door de installatie van een browser add- on die tracking van het surfgedrag blokkeert (e.g. Privacy Badger, Ghostery, …)
– door gebruik te maken van de “incognito” of “private navigation” modus van de browser. Deze functie zorgt ervoor dat de browser de sporen van het surfgedrag wist eens het venster wordt gesloten.
– door zich uit te schrijven voor gerichte advertenties via de opt- out website van de European Interactive Digital Advertising Alliance (www.youronlinechoices.eu). Op die manier kan Facebook niet langer de informatie over het surfgedrag van haar leden gebruiken voor het aanbieden van gerichte reclame. Let wel: Facebook zal nog steeds informatie verzamelen, maar mag deze niet langer gebruiken voor advertentiedoeleinden.
Bevoegdheid van de Belgische Privacycommissie
De Facebook groep heeft in België slechts één onderneming (Facebook Belgium BVBA) die hoofdzakelijk als vehikel om te lobbyen werd opgericht. Omdat deze vennootschap geen persoonsgegevens van de Facebook gebruikers verwerkt, meent Facebook dat zij niet gebonden is door de nationale privacywetgeving van België. Volgens Facebook gebeurt de verwerking van persoonsgegevens enkel door haar Ierse vennootschap en dient zij dan ook enkel het toezicht van de Ierse Privacycommissie te aanvaarden.
De Belgische Privacycommissie verwerpt dit argument en stelt dat Facebook weldegelijk gebonden is door de Belgische privacywetgeving. Zij gebruikt hiervoor hetzelfde argument als het Europese Hof van Justitie in de bekende ‘right to be forgotten case’[1], namelijk dat de vraag of een bepaalde vennootschap (in casu Facebook België BVBA) persoonsgegevens verwerkt irrelevant is, indien de activiteiten van deze vennootschap onlosmakelijk verbonden zijn met deze van de groep (in casu de Facebook groep). Vermits dit het geval is bestaat er volgens de Privacycommissie geen twijfel over de toepasbaarheid van het Belgische recht.
Wat volgt?
Onder de huidige privacywetgeving kan de Privacycommissie zelf geen boetes opleggen.[2] Wel kan zij, waar nodig, een juridische procedure starten. De Privacycommissie dreigt er dan ook mee om een strafrechtelijke procedure op te starten indien Facebook de vooropgestelde aanbevelingen niet volgt. Deze zaak wordt dan ook ongetwijfeld vervolgd.
UPDATE maandag 15 juni 2015
De Privacycommissie heeft Facebook voor de rechtbank gedaagd. Het nieuws werd bevestigd door de voorzitter van de Privacycommissie, Willem Debeuckelaere, aan VRT nieuws. De zaak komt donderdag 18 juni voor in kort geding voor de burgerlijke rechtbank van eerste aanleg te Brussel.
Tekst aanbeveling Privacycommissie
[1] CJEU C-131/12, Google Spain SL, Google Inc. V Agencia Española de Protección de Datos, Mario Costeja González (13 mei 2014).
[2] Dit kan tegen eind dit jaar mogelijks wijzigen.