De Data Privacy Stichting, een collectieve actie-organisatie, had de zaak aangespannen tegen drie bedrijven uit het Facebookconcern. De rechtbank beperkt de veroordeling tot het handelen van Facebook Ierland, omdat alleen zij verantwoordelijk is voor de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers.
Geen rechtsgeldige grondslag en niet goed informeren
Facebook Ierland verwerkte persoonsgegevens voor advertentiedoeleinden zonder dat daar een rechtsgeldige grondslag - zoals bijvoorbeeld toestemming - voor was. Die rechtsgeldige grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden, zoals seksuele voorkeur of religie. Het ging hierbij zowel om persoonsgegevens die gebruikers zelf verstrekten, als bijzondere persoonsgegevens die door Facebook Ierland werden verkregen door het volgen van het surfgedrag van Facebookgebruikers buiten de Facebookdienst.
Verder heeft Facebook Ierland de Facebookgebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal derde partijen. Hierbij zijn niet alleen persoonsgegevens van de Facebookgebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebookvrienden.
“Cookies” op sites derden rechtmatig
De rechtbank oordeelde dat het plaatsen van “cookies” op websites van derden niet onrechtmatig was. De verplichting om gebruikers over het plaatsen van cookies te informeren en toestemming te vragen droeg Facebook Ierland over aan de betreffende website exploitant, en dat mocht volgens de rechtbank.
Geen vordering concrete schade
Bij de collectieve procedure van de Data Privacy Stichting draaide het om de vraag of Facebook Ierland op een aantal punten onrechtmatig heeft gehandeld. In deze procedure kon nog geen schadevergoeding worden gevorderd.