woensdag, 15. maart 2023 - 19:03

Facebook Ierland handelde onrechtmatig bij verwerking persoonsgegevens Nederlandse gebruikers

Foto van logo Facebook | Facebook
Foto: Facebook
Den Haag

Facebook Ierland heeft de wet overtreden bij de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers in de periode van 1 april 2010 tot 1 januari 2020. Dat oordeelde de rechtbank Amsterdam op 15 maart 2023. Persoonsgegevens van gebruikers werden verwerkt voor advertentiedoeleinden terwijl dat in dit geval niet mocht. Ook zijn persoonsgegevens aan derden gegeven zonder dat Facebookgebruikers hierover goed waren geïnformeerd en zonder dat daarvoor een basis bestond in wet- en regelgeving.

De Data Privacy Stichting, een collectieve actie-organisatie, had de zaak aangespannen tegen drie bedrijven uit het Facebookconcern. De rechtbank beperkt de veroordeling tot het handelen van Facebook Ierland, omdat alleen zij verantwoordelijk is voor de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers.

Geen rechtsgeldige grondslag en niet goed informeren

Facebook Ierland verwerkte persoonsgegevens voor advertentiedoeleinden zonder dat daar een rechtsgeldige grondslag - zoals bijvoorbeeld toestemming - voor was. Die rechtsgeldige grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden, zoals seksuele voorkeur of religie. Het ging hierbij zowel om persoonsgegevens die gebruikers zelf verstrekten, als bijzondere persoonsgegevens die door Facebook Ierland werden verkregen door het volgen van het surfgedrag van Facebookgebruikers buiten de Facebookdienst.

Verder heeft Facebook Ierland de Facebookgebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal derde partijen. Hierbij zijn niet alleen persoonsgegevens van de Facebookgebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebookvrienden.

 
“Cookies” op sites derden rechtmatig

De rechtbank oordeelde dat het plaatsen van “cookies” op websites van derden niet onrechtmatig was. De verplichting om gebruikers over het plaatsen van cookies te informeren en toestemming te vragen droeg Facebook Ierland over aan de betreffende website exploitant, en dat mocht volgens de rechtbank. 

Geen vordering concrete schade

Bij de collectieve procedure van de Data Privacy Stichting draaide het om de vraag of Facebook Ierland op een aantal punten onrechtmatig heeft gehandeld. In deze procedure kon nog geen schadevergoeding worden gevorderd. 

Categorie:
Provincie: