Uitspraak
vonnis
RECHTBANK AMSTERDAM
Afdeling privaatrecht
zaaknummer / rolnummer: C/13/683377 / HA ZA 20-468
Vonnis van 15 maart 2023
in de zaak van
de stichting
DATA PRIVACY STICHTING,
gevestigd te Amsterdam,
eiseres,
advocaat mr. J.H. Lemstra te Amsterdam,
tegen
1. de besloten vennootschap met beperkte aansprakelijkheid
FACEBOOK NETHERLANDS B.V.,
gevestigd te Amsterdam,
2. de rechtspersoon naar buitenlands recht
META PLATFORMS, INC., voorheen FACEBOOK INC.,
gevestigd te Menlo Park (Californië, Verenigde Staten),
3. de rechtspersoon naar buitenlands recht
META PLATFORMS IRELAND LTD., voorheen FACEBOOK IRELAND LTD.,
gevestigd te Dublin (Ierland),
gedaagden,
advocaat mr. G.H. Potjewijd te Amsterdam.
Eiseres zal hierna de Stichting en gedaagden zullen hierna opnieuw, in navolging van het eerder gewezen vonnis in incident, Facebook Nederland, Facebook Inc. en Facebook Ierland (gezamenlijk: Facebook c.s.) worden genoemd.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het vonnis in incident van 30 juni 2021 [1] (hierna: het vonnis in incident) en de daarin genoemde processtukken,
- de conclusie van antwoord, met producties,
- de conclusie van repliek, met producties,
- de conclusie van dupliek, met producties,
- het proces-verbaal van mondelinge behandeling, gehouden op 8 november 2022, en de in het proces-verbaal genoemde stukken,
- de brief van de advocaat van Facebook c.s. van 13 december 2022 met opmerkingen over het proces-verbaal.
1.2.
Ten slotte is vonnis bepaald.
1.3.
Voor zover relevant voor de te nemen beslissingen wordt dit vonnis gewezen met inachtneming van de opmerkingen op het proces-verbaal.
2.Overzicht van dit vonnis
Waar deze zaak over gaat
2.1.
Deze zaak is een collectieve actie (naar oud recht [2] ) die is aangespannen door de Stichting tegen Facebook c.s. De Stichting komt op voor de belangen van Nederlandse gebruikers van de Facebookdienst. Het gaat in deze procedure in de kern om de vraag of Facebook c.s. onrechtmatig heeft gehandeld bij de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers in de periode van 1 april 2010 tot 1 januari 2020 (hierna ook: de relevante periode). Daarbij is van belang dat Facebook c.s. persoonsgegevens van gebruikers van de Facebookdienst niet alleen verwerkte om het sociale netwerk aan te bieden, maar ook voor advertentiedoeleinden.
De beslissing van de rechtbank in hoofdlijnen
2.2.
Het oordeel van de rechtbank is dat Facebook Ierland onrechtmatig heeft gehandeld in de manier waarop zij met de persoonsgegevens van Nederlandse Facebookgebruikers is omgegaan. De rechtbank beperkt de veroordeling tot het handelen van Facebook Ierland omdat alleen zij verantwoordelijk is voor de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers.
2.3.
Het onrechtmatig handelen bestaat onder meer uit het zonder rechtsgeldige grondslag verwerken van persoonsgegevens voor advertentiedoeleinden. Verwerking van persoonsgegevens mag alleen als daarvoor een in de wet genoemde grondslag bestaat, zoals bijvoorbeeld toestemming. Facebook Ierland beschikte in de relevante periode niet over een dergelijke grondslag. Een rechtsgeldige grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens (zoals seksuele voorkeur of religie). Er werden namelijk bijzondere persoonsgegevens zonder de vereiste uitdrukkelijke toestemming verwerkt voor advertentiedoeleinden. Het ging daarbij zowel om persoonsgegevens die gebruikers zelf aan Facebook Ierland verstrekten, als bijzondere persoonsgegevens die door Facebook Ierland werden verkregen door het volgen van het surfgedrag van Facebookgebruikers buiten de Facebookdienst.
Verder heeft Facebook Ierland de Facebookgebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal in het vonnis nader genoemde derde partijen. Hierbij zijn niet alleen persoonsgegevens van de Facebookgebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebookvrienden.
2.4.
De wijze waarop Facebook Ierland de persoonsgegevens van Nederlandse Facebookgebruikers verwerkte voor advertentiedoeleinden was in de relevante periode niet alleen in strijd met de privacywetgeving, maar vormde ook een oneerlijke handelspraktijk. Het onvoldoende voorlichten van de Facebookgebruiker als consument over het gebruik van persoonsgegevens voor commerciële doeleinden was misleidend. De gemiddelde consument kon namelijk geen goed geïnformeerd besluit nemen over het deelnemen aan de Facebookdienst.
2.5.
Facebook Ierland heeft niet onrechtmatig gehandeld door het plaatsen van cookies op websites van derden, omdat Facebook Ierland de verplichting om gebruikers over het plaatsen van cookies te informeren en toestemming te vragen, overdroeg en mocht overdragen aan de betreffende website exploitant. Ook is in de procedure niet komen vast te staan dat Facebook Ierland ongerechtvaardigd is verrijkt. De reden daarvoor is dat onvoldoende is gebleken dat het ongeoorloofd voor advertentiedoeleinden verwerken van persoonsgegevens door Facebook Ierland heeft geleid tot daadwerkelijke aantasting van het vermogen van de Facebookgebruiker.
2.6.
De door de Stichting gevraagde verklaringen voor recht zullen gedeeltelijk worden toegewezen. In hoeverre individuele Nederlandse Facebookgebruikers recht hebben op schadevergoeding op grond van het vastgestelde onrechtmatig handelen door Facebook Ierland is een vraag die in deze procedure niet voorligt.
Opbouw van dit vonnis
2.7.
Dit vonnis is vanaf hier als volgt opgebouwd:
3.
De feiten
4.
Het toepasselijk recht
5.
De vorderingen van de Stichting
6. t/m 20.
De beoordeling door de rechtbank
6.
Wie voert (nog) verweer in deze procedure?
7.
Heeft de Stichting voldoende belang?
8.
Het beroep op verjaring
9
Het verzoek om aanhouding
10.
Wie is (verwerkings)verantwoordelijke?
11.
Informatieverstrekkingsplicht voor een aantal specifieke verwerkingen
12.
Grondslag voor verwerking
13.
Bijzondere persoonsgegevens
14.
Cookie-tracking; informatie en toestemming voor het gebruik van cookies?
15.
Vrienden van de Achterban
16.
Locatiegegevens
17.
Oneerlijke handelspraktijk?
18.
Ongerechtvaardigde verrijking?
19.
Afsluitende overwegingen en conclusie
20.
Proceskosten
21.
De beslissing
3.De feiten
3.1.
Voor de leesbaarheid van het vonnis zijn vaststaande feiten die op specifieke onderwerpen betrekking hebben bij de beoordeling van de betreffende onderwerpen vermeld.
3.2.
Facebook Nederland, Facebook Ierland en Facebook Inc. behoren tot het Facebookconcern. Dat concern biedt een sociale netwerkdienst aan (hierna ook: de Facebookdienst). De Facebookdienst fungeert als
social mediaplatform waarmee gebruikers onder meer ervaringen kunnen delen en in contact kunnen komen met informatie en mensen. Wereldwijd maken ruim 2,7 miljard personen gebruik van de Facebookdienst.
social mediaplatform waarmee gebruikers onder meer ervaringen kunnen delen en in contact kunnen komen met informatie en mensen. Wereldwijd maken ruim 2,7 miljard personen gebruik van de Facebookdienst.
De gebruiker betaalt geen financiële vergoeding voor gebruik van de Facebookdienst. Het bedrijfsmodel van het Facebookconcern is gebaseerd op inkomsten uit de verkoop van (gepersonaliseerde) advertenties.
3.3.
Facebook Inc. is opgericht op 4 februari 2004 en heeft haar hoofdkantoor in de Verenigde Staten. Facebook Ierland is een op 6 oktober 2008 opgerichte dochteronderneming van Facebook Inc. Facebook Ierland treedt op als contractspartij voor het aanbieden van de Facebookdienst aan de gebruikers in Nederland (en Europa). Daarnaast verkoopt Facebook Ierland ook advertenties via een zelfserviceadvertentieplatform. Facebook Nederland is opgericht op 25 november 2010. De (uiteindelijke) moedermaatschappij van Facebook Nederland is Facebook Inc. Facebook Nederland verleent diensten met betrekking tot marketing en verkoopondersteuning, gerelateerd aan advertentieverkoop, aan het Facebookconcern. In dat kader houdt Facebook Nederland zich onder meer bezig met het adviseren over en het bevorderen van de verkoop van advertentieruimte op de Facebookdienst en overige advertentieproducten.
3.4.
De Stichting is een op 25 februari 2019 opgerichte collectieve claimstichting. Zij heeft onder meer als doel het behartigen van de belangen van gedupeerden die in Nederland wonen en jegens wie op enig moment een privacyschending heeft plaatsgevonden.
3.5.
De Facebookdienst is een gepersonaliseerde dienst. Deze personalisatie werkt door in de inhoud van wat een gebruiker te zien krijgt. Om tot een gepersonaliseerde gebruikerservaring te komen worden persoonsgegevens gebruikt.
3.6.
Bij het registreren voor de Facebookdienst moet een gebruiker akkoord gaan met de Gebruikersvoorwaarden. In de Gebruikersvoorwaarden staat dat Facebook Ierland de contractspartij is voor Facebookgebruikers in Europa. In de periode 2010 tot en met 2020 hebben die voorwaarden verschillende benamingen gehad en zijn verschillende versies daarvan van kracht geweest.
3.7.
Daarnaast hanteert Facebook Ierland voor het gebruik van de Facebookdienst Gegevensbeleid dat te raadplegen is op de website en in de app. Ook hiervan hebben in de periode tussen 2010 en 2020 verschillende versies bestaan.
3.8.
Eind 2014 heeft (de rechtsvoorganger van) de Autoriteit Persoonsgegevens (AP), de toezichthouder in Nederland op het gebied van gegevensbescherming, een onderzoek ingesteld naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebookconcern. In een rapport van 21 februari 2017, gepubliceerd op 16 mei 2017, heeft de AP verslag gedaan van de bevindingen. Daarin is geconcludeerd dat het Facebookconcern op meerdere punten in strijd handelt met de Wet bescherming persoonsgegevens (Wbp) als het gaat om het verstrekken van informatie over de verwerking van persoonsgegevens voor advertentiedoeleinden. Dit rapport heeft niet tot handhavingsbesluiten van de toezichthouder geleid.
4.Het toepasselijk recht
4.1.
In het vonnis in incident is beslist dat Nederlands recht van toepassing is op deze zaak.
5.De vorderingen van de Stichting
5.1.
De Stichting vordert dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad:
a. voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich, vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban van de Stichting toerekenbaar onrechtmatig heeft gehandeld en/of hebben gehandeld omdat zij:
i. de (privacy)rechten van de Achterban heeft/hebben geschonden door in strijd met de (informatie)plichten van artikelen 33 en 34 Wbp en/of artikelen 12, 13 en 14 Algemene verordening gegevensbescherming [3] (AVG):
1. toe te staan, althans in staat te stellen en te faciliteren, dat externe ontwikkelaars konden beschikken over en/of toegang hadden tot persoonsgegevens van de Achterban en deze persoonsgegevens vervolgens konden verwerken, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
2. toe te staan, althans in staat te stellen en te faciliteren, dat [naam 1] en/of Global Science Research Ltd., en/of Cambridge Analytica Ltd., Cambridge Analytica LLC en SCLE Elections Ltd., konden beschikken over en/of toegang hadden tot persoonsgegevens van de Achterban en deze persoonsgegevens vervolgens konden verwerken, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
3. telefoonnummers van de Achterban die zijn verstrekt ten behoeve van twee-factoren-authenticatie, te gebruiken voor het plaatsen van gerichte advertenties, al dan niet op de desktopversie van haar platform, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
4. de Achterban niet in te lichten, althans onvoldoende duidelijk en/of tijdig te informeren over het ‘integration partnership’-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens betreffende de Achterban;
en/of
de (privacy)rechten van de Achterban heeft/hebben geschonden door:
1. schending van het grondslagvereiste uit artikel 6 en 8 Wbp en/of overtreding van artikel 5, eerste lid, onderdeel a, en artikel 6, eerste lid, AVG, steeds door gegevens van de Achterban te verwerken zonder dat een dergelijke verwerking kon worden gebaseerd op een toereikende en rechtsgeldige verwerkingsgrondslag;
2. schending van het verwerkingsverbod voor bijzondere gegevens uit artikel 16 Wbp en/of van artikel 9, eerste lid, AVG, door in het bijzonder (maar niet uitsluitend) persoonsgegevens betreffende het seksuele leven, geloofsovertuiging en etniciteit, en de inhoud van berichten van de Achterban waaruit dergelijke informatie blijkt te gebruiken voor advertentiedoeleinden;
3. schending van de informatieplicht en het toestemmingsvereiste uit artikel 11.7a, eerste lid, Telecommunicatiewet (Tw), althans overeenkomstige bepalingen in nationale privacywetgeving in andere lidstaten, door het niet, dan wel niet duidelijk of in voldoende mate en/of niet tijdig informeren van de Achterban over het met behulp van cookies en/of vergelijkbare technologie volgen van surfgedrag en appgebruik buiten de Facebookdienst en het gebruik van de aldus verkregen gegevens voor advertentiedoeleinden;
en/of
jegens de Achterban van de Stichting handelspraktijken heeft/hebben verricht die oneerlijk zijn in de zin van artikel 6:193b lid 1 Burgerlijk Wetboek (BW) en/of misleidend zijn in de zin van artikel 6:193c, 193d en 193g BW, door:
1. na te laten de Achterban voldoende duidelijk en/of tijdig te informeren over het verzamelen en verder verwerken van hun (vertrouwelijke) persoonsgegevens teneinde daarmee omzet te genereren, door die persoonsgegevens met derden te delen, althans die gegevens te gebruiken ten behoeve van derden;
2. na te laten haar Achterban voldoende duidelijk en/of tijdig te informeren over de schaalgrootte van de inwinning van deze (vertrouwelijke) persoonsgegevens, en het delen daarvan met derden, althans het gebruik daarvan ten behoeve van derden;
3. tot in ieder geval in augustus 2019 de misleidende mededeling te doen aan de achterban dat de Facebookdienst gratis zou zijn en dat altijd zou blijven, terwijl de Achterban
de factobetaalde voor de Facebookdienst met het overhandigen van de betreffende (vertrouwelijke) persoonsgegevens aan Facebook c.s.;
de factobetaalde voor de Facebookdienst met het overhandigen van de betreffende (vertrouwelijke) persoonsgegevens aan Facebook c.s.;
voor recht verklaart dat dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban toerekenbaar onrechtmatig hebben gehandeld door, via de Achterban, ook de gegevens van vrienden van de Achterban op de hiervoor onder a.i.1., a.i.2., a.i.3., a.ii.1. en a.ii.3 bedoelde onrechtmatige wijze te hebben verwerkt;
voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich ongerechtvaardigd is en/of zijn verrijkt ten koste van de Achterban in de periode vanaf 1 april 2010 tot 1 januari 2020, althans een door de rechtbank in goede justitie te bepalen periode;
Facebook Nederland, Facebook Ierland en Facebook Inc. hoofdelijk veroordeelt tot betaling van de door de Stichting gemaakte proceskosten, te vermeerderen met nakosten en wettelijke rente over de proces- en nakosten.
5.2.
Het in de vordering gebruikte woord “Achterban” definieert de Stichting, kort gezegd, als (voormalige) gebruikers van de Facebookdienst op enig moment in de periode van 1 april 2010 tot 1 januari 2020 (en/of hun wettelijke verzorgers) voor zover zij ten tijde van dat gebruik in Nederland woonden, niet handelend in de uitoefening van een beroep of bedrijf, en voor wie de Stichting krachtens haar doelomschrijving opkomt, en jegens wie op enig moment een Privacyschending (als bedoeld in de statuten) heeft plaatsgevonden.
5.3.
Facebook c.s. voert verweer en concludeert tot niet-ontvankelijkverklaring dan wel afwijzing van de vorderingen, met veroordeling van de Stichting in de proceskosten.
5.4.
Op de stellingen van partijen wordt hierna onder de beoordeling, voor zover van belang, ingegaan.
De beoordeling door de rechtbank
6.Wie voert (nog) verweer in deze procedure?
6.1.
De Stichting heeft tijdens de mondelinge behandeling naar voren gebracht dat Facebook c.s. in de conclusie van dupliek alleen argumenten heeft ingenomen namens Facebook Ierland en dat Facebook Nederland en Facebook Inc. daarom hun recht op verweer tegen de stellingen van de Stichting hebben verspeeld.
6.2.
Hierin wordt de Stichting niet gevolgd. Facebook c.s. heeft in deze procedure verweer gevoerd namens de drie Facebookentiteiten en in dat verband onder meer verschillende processtukken waaronder een conclusie van dupliek ingediend. Een van de argumenten van Facebook c.s. is dat alleen Facebook Ierland de verantwoordelijke partij is voor het in deze procedure aan de orde zijnde handelen. In dat licht heeft Facebook c.s. het in de conclusie van dupliek inderdaad veelvuldig over Facebook Ierland, omdat dat in haar ogen de enige relevante partij is. Daaruit kan (vanzelfsprekend) niet worden afgeleid dat het verweer van Facebook c.s. in deze procedure is beperkt tot een verweer van Facebook Ierland. Tijdens de mondelinge behandeling is namens Facebook c.s. bevestigd dat het verweer in deze procedure namens de drie Facebookentiteiten is gevoerd.
7.Heeft de Stichting voldoende belang?
7.1.
Meest verstrekkend heeft Facebook c.s. aangevoerd dat de Stichting onvoldoende belang heeft bij de door haar ingestelde vorderingen. Daartoe heeft Facebook c.s., samengevat, het volgende naar voren gebracht. De Stichting heeft voor geen van haar vorderingen de mogelijkheid van schade voor de Achterban aannemelijk gemaakt. De Stichting beroept zich slechts op een beweerdelijk verlies van controle over persoonsgegevens zonder duidelijk te maken waarom dat in juridische zin schade zou kunnen opleveren. Een enkele inbreuk op een privacyrecht leidt op zichzelf nog niet tot schade. Een privacyschending geeft ook niet automatisch aanspraak op vergoeding van immateriële schade. De aard en ernst van de gestelde normschending brengt niet mee dat nadelige gevolgen voor de Achterban zo voor de hand liggen dat een aantasting in de persoon als bedoeld in artikel 6:106, aanhef en onder b, BW kan worden aangenomen.
Verder verwijst Facebook c.s. naar de conclusie van 6 oktober 2022 van de Advocaat-Generaal (A-G) bij het Hof van Justitie van de Europese Unie (HvJ EU) in de zaak UI/Österreichische Post [4] . Die zaak gaat over de uitleg van het schadebegrip in artikel 82 AVG. Facebook c.s. verzoekt de rechtbank haar beslissing zo nodig aan te houden, totdat het HvJ EU uitspraak heeft gedaan in de zaak UI/Österreichisch Post.
7.2.
De Stichting heeft gesteld dat zij voldoende belang heeft bij haar vorderingen. Zij heeft daartoe onder meer het volgende aangevoerd. Inbreuken op privacy kunnen zowel materiële als immateriële schade veroorzaken. Daarmee is de mogelijkheid van schade aannemelijk. In de voorheen geldende Privacyrichtlijn [5] en in de op dit moment geldende AVG is een ruim schadebegrip gehanteerd. Daarin is ook uitdrukkelijk erin voorzien dat een benadeelde aanspraak kan maken op een vergoeding voor immateriële schade. De schade van de Achterban als gevolg van de schending van privacyregelgeving bestaat in elk geval uit verlies van controle over persoonsgegevens en/of de verhindering om controle te kunnen uitoefenen. De Achterban heeft meer dan louter ergernis ondervonden van de doorlopende schendingen van zijn gegevensbeschermingsrechten. De schending van privacyrechtelijke bepalingen kan worden aangemerkt als een aantasting in de persoon als bedoeld in artikel 6:106, aanhef en onder b, BW. Een dergelijke aantasting geeft aanspraak op vergoeding van immateriële schade. De casus die aan de orde is in de zaak UI/Österreichische Post is volgens de Stichting niet vergelijkbaar met haar collectieve actie tegen Facebook c.s.
7.3.
De rechtbank overweegt als volgt.
7.4.
Artikel 3:303 BW bepaalt dat zonder voldoende belang niemand een rechtsvordering toekomt. Met “voldoende belang” wordt bedoeld genoeg belang om een procedure te rechtvaardigen. In beginsel mag worden verondersteld dat voldoende belang bij een vordering bestaat. De rechter moet terughoudend zijn met het oordeel dat onvoldoende belang bestaat bij een rechtsvordering. Indien een verklaring voor recht wordt gevorderd dat aansprakelijkheid bestaat voor schade of dat onrechtmatig is gehandeld, moet de rechter ervan uitgaan dat de eisende partij daarbij belang heeft als de mogelijkheid van schade aannemelijk is. [6] Dat geldt ook als niet tevens een veroordeling tot schadevergoeding of tot verwijzing naar de schadestaatprocedure wordt gevorderd.
7.5.
De Stichting vordert in deze procedure verklaringen voor recht dat Facebook c.s. onrechtmatig heeft gehandeld en ongerechtvaardigd is verrijkt. Daaraan legt de Stichting in de kern het verwijt ten grondslag dat Facebook c.s. gedurende de periode van 2010 tot 2020 onrechtmatig persoonsgegevens van de Achterban heeft verwerkt. De Stichting beoogt met de toewijzing van de gevorderde verklaringen voor recht uiteindelijk een schadevergoeding te verkrijgen voor de Achterban.
7.6.
In het kader van de vraag naar het belang van de Stichting bij haar vorderingen moet de rechtbank beoordelen of de mogelijkheid van schade aannemelijk is indien één of meer van de door de Stichting gemaakte verwijten terecht zijn. Voor de beantwoording van de vraag of de mogelijkheid van schade aannemelijk is, is het niet nodig de uitspraak van het HvJ EU over de uitleg van het schadebegrip in artikel 82 van de AVG af te wachten. Ook als wordt uitgegaan van de uitleg van het begrip immateriële schade volgens de huidige stand van de rechtspraak (en meer in het bijzonder de eisen die worden gesteld aan het begrip ‘aantasting in de persoon op andere wijze’ als bedoeld in artikel 6:106 BW) is naar het oordeel van de rechtbank de
mogelijkheidvan schade als gevolg van de door de Stichting gemaakte verwijten in dit geval aannemelijk. Daartoe is het volgende redengevend.
mogelijkheidvan schade als gevolg van de door de Stichting gemaakte verwijten in dit geval aannemelijk. Daartoe is het volgende redengevend.
7.7.
Bij een collectieve actie als de onderhavige past, onder andere ten aanzien van de belangvraag, een zekere abstracte toetsing. Dat betekent dat de vraag of de mogelijkheid van schade aannemelijk is, in algemene zin moet worden beantwoord, dat wil zeggen geabstraheerd van individuele omstandigheden van leden van de Achterban. Weliswaar kan niet worden gezegd dat de door de Stichting gestelde privacyschendingen en oneerlijke handelspraktijken zonder meer tot schade leiden, maar daar staat tegenover dat de mogelijkheid van schade ook niet op voorhand en in algemene zin is uitgesloten. Het is immers goed denkbaar dat de door de Stichting gestelde privacyschendingen onder bepaalde omstandigheden tot materiële en/of immateriële schade (kunnen) hebben geleid. Die mogelijkheid is in het kader van deze collectieve actie voldoende voor de vaststelling dat de mogelijkheid van schade aannemelijk is. Of en wanneer dergelijke omstandigheden zich daadwerkelijk voordoen, behoeft daarbij in het kader van deze procedure geen beantwoording.
7.8.
Aangezien de mogelijkheid van schade aannemelijk is, heeft de Stichting voldoende belang bij de door haar gevorderde verklaringen voor recht.
8.Het beroep op verjaring
8.1.
Facebook c.s. heeft betoogd dat de vorderingen van de Stichting, voor zover die betrekking hebben op gebeurtenissen van vóór 30 december 2014, zijn verjaard op grond van artikel 3:310 BW. Daartoe heeft Facebook c.s. het volgende aangevoerd. Vijf jaar vóór 30 december 2019, het moment van het aanhangig maken van deze procedure door de Stichting, waren de Stichting en de Achterban redelijkerwijs al bekend, althans hadden zij bekend moeten zijn, met de door de Stichting beweerde schendingen, de vermeende schade en de daarvoor aansprakelijke persoon. De Facebookgebruikers waren namelijk al vóór 30 december 2014 op de hoogte van de gegevensverwerking die relevant is voor de vorderingen van de Stichting. Vóór die datum was er al een wijdverspreide discussie in de media over de verwerking van persoonsgegevens ten behoeve van gepersonaliseerd adverteren. Verwezen wordt naar een selectie van nieuwsartikelen die in de loop van 2014 in Nederlandse nieuwsmedia zijn verschenen. Dit toont aan dat het grote publiek, onder wie Nederlandse Facebookgebruikers, zich ervan bewust was dat gegevensverwerking voor het leveren van een gepersonaliseerde dienst (inclusief gepersonaliseerde reclame) tot de kern van de Facebookdienst behoort. Iedereen wist ook dat advertenties zijn toegesneden op eigen zoek- en surfgedrag op internet. Facebookgebruikers waren in elk geval voldoende op de hoogte om verder onderzoek te moeten doen naar hun mogelijke schade of de aansprakelijke persoon. Dat de Achterban al in 2014 in staat was om vorderingen in te stellen, blijkt ook uit de omstandigheid dat enkele honderden Nederlandse Facebookgebruikers in 2014 hebben geprobeerd zich aan te sluiten bij een door [naam 2] in Oostenrijk aangespannen procedure.
8.2.
De Stichting bestrijdt dat de Achterban al vóór 30 december 2014 bekend was met de schade en de daarvoor aansprakelijke persoon en zij voert daartoe het volgende aan. Zonder diepgravende onderzoeken, zoals die van de AP, hadden Facebookgebruikers niet op de hoogte kunnen komen van wat er met hun data gebeurde en met de onvolledige en misleidende wijze waarop Facebook c.s. de gebruikers daarover informeerde. De perspublicaties waarnaar Facebook c.s. heeft verwezen, zijn onvoldoende om daarop de daadwerkelijke bekendheid met zowel de schade als de aansprakelijke persoon te kunnen baseren. Van gedupeerden hoeft ook niet te worden verwacht dat zij op krantenartikelen afgaan. Er was geen onderzoeksplicht voor de gebruikers van de Facebookdienst. De AP heeft in de periode november 2014 tot en met 21 februari 2017 onderzoek gedaan naar de werking van de Facebookdienst. Pas na de publicatie van dat onderzoek in 2017 zou gezegd kunnen worden dat de Achterban bekend kon zijn met de bevindingen van de AP, aldus de Stichting.
8.3.
De rechtbank overweegt als volgt. Gelet op de vorderingen van de Stichting moeten als de gestelde schadeveroorzakende gebeurtenissen worden aangemerkt de verwerking van persoonsgegevens van de Achterban door Facebook c.s. van 2010 tot 2020 en de informatie die Facebook c.s. in die periode daarover en over de Facebookdienst heeft verstrekt. Het beroep op verjaring van Facebook c.s. is gericht op de vorderingen, voor zover die zien op gebeurtenissen van vóór 30 december 2014.
8.4.
Op grond van artikel 3:310 lid 1 BW begint de daarin genoemde verjaringstermijn van vijf jaar te lopen op de dag volgende op die waarop de benadeelde zowel met de schade als met de daarvoor aansprakelijke persoon bekend is geworden. Volgens vaste rechtspraak [7] moet de eis dat de benadeelde bekend is geworden met zowel de schade als de daarvoor aansprakelijke persoon aldus worden opgevat dat het hier gaat om een daadwerkelijke bekendheid, zodat het enkele vermoeden van het bestaan van schade dan wel het enkele vermoeden welke persoon voor de schade aansprakelijk is, niet volstaat. De korte verjaringstermijn van artikel 3:310 lid 1 BW begint pas te lopen op de dag na die waarop de benadeelde daadwerkelijk in staat is een rechtsvordering tot vergoeding van de door hem geleden schade in te stellen. Daarvan zal sprake zijn als de benadeelde voldoende zekerheid – die niet een absolute zekerheid behoeft te zijn – heeft verkregen dat schade is veroorzaakt door tekortschietend of foutief handelen van de betrokken persoon. Het antwoord op de vraag op welk tijdstip de verjaringstermijn is gaan lopen, is afhankelijk van de relevante omstandigheden van het geval.
8.5.
Aangezien verjaring een bevrijdend verweer is, is het aan Facebook c.s. om feiten en omstandigheden te stellen, en zo nodig te bewijzen, die nodig zijn om te kunnen concluderen dat in 2014 sprake was van daadwerkelijke bekendheid bij de Achterban met de schade en de aansprakelijke persoon.
8.6.
Voor de beoordeling van het verjaringsverweer is in verband met de eis van de subjectieve bekendheid in beginsel de individuele situatie van de betrokkenen van belang. Een beoordeling van individuele omstandigheden is in deze collectieve procedure echter niet aan de orde, omdat moet worden geabstraheerd van individuele gevallen. Om die reden leent de vraag of de vorderingen deels zijn verjaard zich minder goed voor behandeling in deze collectieve actie. Het beroep op verjaring zou in deze zaak alleen kunnen slagen, indien een individuele benadering achterwege kan blijven en op andere wijze kan worden vastgesteld dat de subjectieve bekendheid met zowel de schade als de aansprakelijke persoon ten aanzien van alle leden van de Achterban vóór 30 december 2014 aanwezig was. Facebook c.s. heeft onvoldoende feiten of omstandigheden gesteld op basis waarvan dat kan worden vastgesteld. In algemene zin is er niet één specifiek moment aan te wijzen waarop de gevolgen van de gestelde onrechtmatige gebeurtenissen van vóór 30 december 2014 zich hebben geopenbaard. In zoverre is er dus niet één specifiek moment aan te wijzen waarop de (mogelijke) schade en de subjectieve bekendheid daarmee is of kan zijn ontstaan.
Aan de in 2014 in de media verschenen publicaties en de door Facebook c.s. gestelde algemene bekendheid over gepersonaliseerde advertenties komt niet de betekenis toe die Facebook c.s. daaraan toegekend wil zien. Op basis van die informatie zou er mogelijk vanuit kunnen worden gegaan dat de Achterban ervan op de hoogte was dat Facebook c.s. persoonsgegevens mede verwerkte ten behoeve van advertentiedoeleinden en dat over de rechtmatigheid daarvan discussie bestond, maar de in dat verband relevante feiten en omstandigheden waren in 2014 nog niet, althans niet in volle omvang, bekend. Zo is niet gebleken dat toen al algemeen bekend was op welke manier en in welke mate Facebook c.s. de persoonsgegevens van Facebookgebruikers precies (vermeend) verwerkte. Daarmee bestond in 2014 nog niet voldoende zekerheid bij de Achterban over (vermeend) tekortschietend of foutief handelen van Facebook c.s. Bovendien kan evenmin worden vastgesteld dat de (mogelijke) schade zich toen al (in alle gevallen) had voorgedaan.
8.7.
Dat betekent dat in 2014 van daadwerkelijke bekendheid bij de Achterban met de schade als gevolg van de gestelde schadeveroorzakende gebeurtenissen van vóór 30 december 2014 nog geen sprake was. Het beroep van Facebook c.s. op verjaring moet in deze procedure daarom worden verworpen. De rechtbank geeft daarmee geen oordeel over de vraag of in een individueel geval mogelijk sprake is van verjaring.
9.Het verzoek om aanhouding
9.1.
Facebook c.s. voert aan dat bij het HvJ EU op dit moment verschillende procedures [8] aanhangig zijn die betrekking hebben op dezelfde vragen als in de onderhavige procedure en dat de onderhavige procedure moet worden aangehouden in afwachting van de uitkomst van die procedures bij het HvJ EU. Facebook c.s. wijst erop dat die zaken zien op de grondslagen toestemming en contractuele noodzaak en de kwalificatie van bijzondere persoonsgegevens.
9.2.
De rechtbank heeft hiervoor al geoordeeld dat er geen reden bestaat om de uitkomst in de zaak UI/Österreichische Post af te wachten. De rechtbank ziet ook in de andere aanhangige prejudiciële procedures onvoldoende aanleiding om deze zaak aan te houden in afwachting van de uitkomst van de aanhangige prejudiciële procedures. Weliswaar zien de door Facebook c.s. aangehaalde procedures ook op onderwerpen die in deze zaak aan de orde zijn, maar daarmee is niet gegeven dat met de beslissingen van het HvJ EU ook één op één de vragen die voorliggen in deze procedure zullen zijn beantwoord. Bovendien is onduidelijk wanneer het HvJ EU in de genoemde zaken uitspraak zal doen. Omdat de rechtbank (op grond van artikel 20 Rv) is gehouden onredelijke vertraging te voorkomen, is aanhouding van deze zaak ook uit het oogpunt van proceseconomie onwenselijk. Dit kan immers mogelijk tot een aanzienlijke aanhouding leiden in een inmiddels al langlopende zaak in de eerste aanleg, terwijl geen zekerheid bestaat of die aanhouding tot nadere duidelijkheid gaat leiden.
10.Wie is (verwerkings)verantwoordelijke?
10.1.
De vraag is wie van Facebook c.s. voor de gegevensverwerking die in deze zaak aan de orde is als verantwoordelijke in de zin van de Wbp respectievelijk verwerkingsverantwoordelijke in de zin van de AVG kan worden aangemerkt.
10.2.
Op grond van artikel 1 onder d Wbp, dat de implementatie vormt van artikel 2 onder d van de Privacyrichtlijn, wordt onder verantwoordelijke onder meer verstaan de rechtspersoon die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In de memorie van toelichting bij de Wbp staat hierover onder meer het volgende: [9]
Bij de beantwoording van de vraag wie de verantwoordelijke is, dient enerzijds te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds – in aanvulling daarop – van een functionele inhoud van het begrip. Het laatste criterium speelt met name een rol als er verschillende actoren bij de gegevensverwerking betrokken zijn en de juridische bevoegdheid onvoldoende helder is geregeld om te kunnen bepalen wie van de betrokken actoren als verantwoordelijke in de zin van de wet moet worden aangemerkt. In dergelijke situaties zal aan de hand van algemeen in het maatschappelijk verkeer geldende maatstaven moeten worden bezien aan welke natuurlijke persoon, rechtspersoon of bestuursorgaan de betreffende verwerking moet worden toegerekend. (...)
Het is wenselijk duidelijk te stellen dat het begrip «verantwoordelijke» doelt op degene die formeel-juridisch de zeggenschap over de verwerking heeft. (...)
Het is wenselijk duidelijk te stellen dat het begrip «verantwoordelijke» doelt op degene die formeel-juridisch de zeggenschap over de verwerking heeft. (...)
Uitgangspunt bij de invulling van het begrip «verantwoordelijke» is derhalve de bestaande struktuur van het civielrechtelijke en bestuursrechtelijke personen- en organisatierecht. Voor de private sector betekent dit dat de formeel-juridische organisatie van de onderneming doorslaggevend is. (…)
Het bovenstaande vindt ook toepassing bij concernverhoudingen. Verantwoordelijke is de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. De feitelijke macht of invloed van een andere rechtspersoon binnen het concern is niet van belang. De ratio is dat de betrokkene in het maatschappelijk verkeer kan weten ten aanzien van wie hij zijn rechten desgewenst kan uitoefenen. (...) Dat die door de moeder- of een dochtermaatschappij verrichte gegevensverwerking (mede) ten dienste staan van het concern als zodanig is op zichzelf niet van belang voor het vaststellen van verantwoordelijkheid. Het wetsvoorstel staat evenwel niet in de weg aan een regeling waarbij in de statuten van de betrokken rechtspersonen of via een overeenkomst aan een bepaalde rechtspersoon binnen het concern de bevoegdheid wordt toegekend om doel en middelen van de gegevensverwerkingen binnen het concern te bepalen. De genoemde rechtspersoon – bijvoorbeeld de moedermaatschappij – is dan verantwoordelijke in de zin van het wetsvoorstel voor alle gegevensverwerkingen die binnen het concern plaatsvinden, omdat de juridische zeggenschap krachtens de getroffen regeling bij die rechtspersoon berust. (...) Het is in overeenstemming met maatschappelijke verkeersopvattingen om de verantwoordelijkheid voor de gegevensverwerking toe te rekenen aan de rechtspersoon die krachtens een interne regeling binnen het concern als de bevoegde rechtspersoon is aangewezen.
(...) Een belangrijke nuancering is voorts dat in bepaalde situaties ook sprake kan zijn van gezamenlijke of gedeelde verantwoordelijkheid. Ten aanzien van een geheel van gegevensverwerkingen is het mogelijk dat meerdere personen of instanties, dus een pluraliteit van verantwoordelijken, als zodanig worden aangemerkt. (...)
10.3.
Op grond van artikel 4 onder 7 van de AVG wordt onder verwerkingsverantwoordelijke onder meer verstaan de rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Daarbij moet beoordeeld worden of deze rechtspersoon in staat is om zelfstandig te bepalen voor welk doel en met welke middelen de gegevens worden verwerkt. Het kan van belang zijn dat deze rechtspersoon daartoe juridisch bevoegd is maar dat is geen vereiste. Het gaat om een functioneel begrip dat beoogt de verantwoordelijkheid daar te leggen waar de feitelijke zeggenschap of invloed met betrekking tot de gegevensverwerkingen ligt. [10]
10.4.
Op grond van artikel 2 onder c van de Privacyrichtlijn wordt onder "verwerking van persoonsgegevens" verstaan: “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.
Op grond van artikel 4 onder 2 van de AVG wordt onder “verwerking” verstaan “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.
10.5.
Het gaat er bij de (verwerkings)verantwoordelijke dus om dat de betrokken persoon invloed uitoefent op de betreffende verwerking van persoonsgegevens en daardoor deelneemt aan de vaststelling van het doel en de middelen voor deze verwerking. [11] Het HvJ EU heeft geoordeeld dat het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid. Personen kunnen juist in verschillende stadia en in verschillende mate bij de verwerking betrokken zijn. Dat betekent volgens het HvJ EU dat het niveau van verantwoordelijkheid van elk van hen moet worden betrokken in het licht van alle relevante omstandigheden van het geval. [12] Een persoon kan voor bewerkingen die verband houden met de verwerking van persoonsgegevens slechts gezamenlijk met anderen verantwoordelijk zijn, wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen heeft vastgesteld. Deze persoon kan, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht voorziet, niet worden geacht verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt. [13] Een en ander betekent dat concreet moet worden gemaakt welke Facebookentiteit voor welke verwerking het doel en de middelen vaststelt.
10.6.
In ieder geval kan Facebook Ierland als verwerker respectievelijk verwerkingsverantwoordelijke worden aangemerkt. Facebook Ierland moet immers worden beschouwd als degene die primair het doel van en de middelen voor de verwerking van de persoonsgegevens van de Nederlandse Facebookgebruikers vaststelt. Dat volgt ook uit verschillende (beleids)documenten en overeenkomsten. Dat Facebook Ierland deze rol heeft is tussen partijen niet in geschil.
10.7.
De Stichting stelt dat ook Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijke zijn. Zij brengt daarvoor, onder verwijzing naar het rapport van de AP, onder meer het volgende naar voren:
- Facebook Inc. spreekt zelf over één financiële bedrijfsvoeringseenheid waarbij de beslissingsbevoegdheid voor alle financiële verrichtingen en resultaten exclusief ligt bij de
- Facebook Inc. heeft in 2006 de Facebookdienst in Nederland geïnitieerd.
- Facebook Inc. had de belangrijkste doelen en middelen van verwerking van persoonsgegevens al bepaald toen Facebook Inc. en Facebook Ierland in 2013 de eerste bewerkersovereenkomsten sloten.
- Facebook Inc. verricht de meeste voor het bedrijfsmodel essentiële verwerkingen.
- In de bewerkersovereenkomst 2015 staat dat Facebook Inc. verantwoordelijk is voor de beoordeling van verzoeken van Amerikaanse inlichtingen- en veiligheidsdiensten om toegang tot persoonsgegevens die Facebook Inc. verwerkt.
- Facebook Inc. bepaalt volgens toezichthouders waarvoor gegevens worden verwerkt, waar en hoe dat wordt gedaan.
- Facebook Nederland oefent in belangrijke mate zeggenschap uit over het aantrekken, behouden en ondersteunen van adverteerders, waarbij zij gebruik moet maken van de verwerking van persoonsgegevens door Facebook Ierland en Facebook Inc. om een juiste doelgroep te kunnen bepalen en bereiken.
- Facebook Nederland genereert rapporten over de effectiviteit van advertenties met gebruik van de Facebookdienst, wat veronderstelt dat Facebook Nederland persoonsgegevens verwerkt die worden verkregen.
- Facebook Nederland kan op klantniveau en/of advertentiecampagneniveau selecties maken van (geaggregeerde) gegevens die zij ontvangt van Facebook Inc. en/of Facebook Ierland.
10.8.
Facebook c.s. betwist gemotiveerd dat Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijken zijn en voert aan dat deze vennootschappen niet beslissen over de doeleinden van verwerkingen zoals bepaald in het gegevensbeleid. Volgens Facebook c.s. gaat de Stichting uit van onjuiste omstandigheden en is alleen Facebook Ierland de verwerkingsverantwoordelijke voor gebruikers in Europa. Facebook c.s. wijst erop dat Facebook Nederland alleen marketing- en verkoopactiviteiten verricht en bijvoorbeeld geen advertenties personaliseert.
10.9.
Naar het oordeel van de rechtbank volgt uit de door de Stichting aangevoerde omstandigheden niet dat Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijken voor de in het geding zijnde periode zijn. Uit al deze algemene stellingen blijkt namelijk onvoldoende duidelijk op welke concrete verwerkingen de Stichting het oog heeft en op welke wijze Facebook Inc. respectievelijk Facebook Nederland voor de betreffende verwerkingen dan (mede) de middelen en het doel vaststelt. Een voldoende concretisering van de Stichting hierover ontbreekt. Dat Facebook Inc. de Facebookdienst heeft geïnitieerd en als moedervennootschap de (uiteindelijke) financiële zeggenschap heeft binnen het concern is daarbij evenmin van doorslaggevende betekenis. Zoals in de parlementaire geschiedenis is toegelicht, is de feitelijke macht of invloed van een andere rechtspersoon binnen een concern niet relevant. De interne regeling binnen het concern brengt in dit geval mee dat Facebook Ierland als de bevoegde rechtspersoon is aangewezen, zodat de verantwoordelijkheid voor de hier aan de orde zijnde gegevensverwerking is toe te rekenen aan deze rechtspersoon. Van een in de memorie van toelichting bij de Wbp [14] of het advies van de Groep Gegevensbescherming artikel 29 [15] beschreven situatie van verschillende actoren waarbij de juridische bevoegdheid onvoldoende helder is geregeld of waarbij de verplichtingen en verantwoordelijkheden niet duidelijk zijn belegd is in dit geval geen sprake.
10.10.
De rechtbank komt tot de conclusie dat uitsluitend Facebook Ierland voor de relevante periode als de (verwerkings)verantwoordelijke is aan te merken.
10.11.
Aangezien Facebook Ierland (verwerkings)verantwoordelijke is, zal de rechtbank haar verdere beoordeling over de Wbp en de AVG toespitsen op Facebook Ierland. Hoewel de stellingen van partijen ook golden voor Facebook Inc. en Facebook Nederland, is vermelding van die twee partijen voor het vervolg van de beoordeling in zoverre niet langer relevant.
11.Informatieverstrekkingsplicht voor een aantal specifieke verwerkingen
11.1.
De Stichting verwijt Facebook Ierland ten eerste (zie vordering a.i.1 tot en met a.i.4, zoals hiervoor onder 5.1 weergegeven) dat Facebook Ierland de Achterban niet goed heeft geïnformeerd over een viertal specifieke verwerkingen van persoonsgegevens van de Achterban. Deze vordering is toegespitst op en beperkt tot de vermeende toegang van externe ontwikkelaars, het bedrijf Cambridge Analytica en
integrated partnersvan Facebook c.s. tot persoonsgegevens van de Achterban, alsmede het gebruik van telefoonnummers van de Achterban, verstrekt in het kader van twee-factor-authenticatie, voor advertentie-doeleinden.
integrated partnersvan Facebook c.s. tot persoonsgegevens van de Achterban, alsmede het gebruik van telefoonnummers van de Achterban, verstrekt in het kader van twee-factor-authenticatie, voor advertentie-doeleinden.
11.2.
Partijen hebben daarnaast uitvoerig gedebatteerd over de vraag of Facebook Ierland
in algemene zinde Achterban goed heeft geïnformeerd in de zin van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG over de verwerking van persoonsgegevens (voor advertentiedoeleinden). Die vraag hoeft de rechtbank echter niet in algemene zin te beantwoorden, omdat de Stichting daaraan geen (algemene) vordering heeft verbonden, maar haar vordering a.i. heeft beperkt tot de vier daar genoemde specifieke verwerkingen. Het in algemene zin tussen partijen gevoerde debat over de informatieverplichtingen zal dus alleen worden besproken, voor zover dat van belang is in het kader van concrete vorderingen.
in algemene zinde Achterban goed heeft geïnformeerd in de zin van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG over de verwerking van persoonsgegevens (voor advertentiedoeleinden). Die vraag hoeft de rechtbank echter niet in algemene zin te beantwoorden, omdat de Stichting daaraan geen (algemene) vordering heeft verbonden, maar haar vordering a.i. heeft beperkt tot de vier daar genoemde specifieke verwerkingen. Het in algemene zin tussen partijen gevoerde debat over de informatieverplichtingen zal dus alleen worden besproken, voor zover dat van belang is in het kader van concrete vorderingen.
Toetsingskader
11.3.
De verwijten van de Stichting bestrijken de periode van 1 april 2010 tot 1 januari 2020. Van 1 april 2010 tot 25 mei 2018 was de Wbp (als implementatie van de Privacyrichtlijn, de voorganger van de AVG) van toepassing. Vanaf 25 mei 2018 is de AVG van toepassing. Dit onderscheid tussen de toepassing van de Wbp en de AVG is in deze procedure voor de beoordeling van de vraag of Facebook Ierland aan haar informatieverplichting heeft voldaan, niet van belang. De informatieverplichtingen zijn onder de AVG weliswaar aangescherpt, maar in essentie is de informatieverplichting hetzelfde onder beide wettelijke regelingen en de verwijten van de Stichting hebben betrekking op verplichtingen die ook al bestonden onder de Wbp.
11.4.
Artikel 6 van de Privacyrichtlijn luidt als volgt:
1. De Lid-Staten bepalen dat de persoonsgegevens:
a. a) eerlijk en rechtmatig moeten worden verwerkt;
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden;
c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;
d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;
e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.
11.5.
Op grond van artikel 6 van de Wbp worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
11.6.
Artikel 33 Wbp, dat een uitwerking vormt van artikel 6 Wbp en van het transparantiebeginsel, luidt als volgt:
1. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daarvan reeds op de hoogte is.
2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede.
3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
11.7.
De AVG kent vergelijkbare bepalingen. Zo schrijft artikel 5 lid 1 aanhef en onder a van de AVG voor dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Artikel 5 lid 2 AVG bepaalt: de verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (”verantwoordingsplicht”).
11.8.
Artikel 12 lid 1, eerste volzin, van de AVG bepaalt, voor zover hier van belang, dat de verwerkingsverantwoordelijke passende maatregelen neemt opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt.
11.9.
Artikel 13 lid 1 aanhef en onder c van de AVG luidt als volgt:
Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: (…)
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking.
11.10.
De gedachte achter het informeren van de betrokkene is de transparantie van de gegevensverwerking. De (verwerkings)verantwoordelijke moet actief en ongevraagd de betrokkene van de gegevensverwerking op de hoogte stellen, tenzij deze reeds op de hoogte is. Op die manier is de betrokkene in staat te volgen hoe gegevens over hem worden verwerkt en bepaalde vormen van verwerking of onrechtmatig gedrag van de verwerkingsverantwoordelijke in rechte aan te vechten. Een verwerking van persoonsgegevens waarover de (verwerkings)verantwoordelijke de betrokkene niet goed heeft geïnformeerd, is onrechtmatig. [16]
11.11.
De (verwerkings)verantwoordelijke kan in het algemeen niet volstaan met het mededelen van zijn identiteit en de doeleinden van de verwerking. Hij zal de betrokkene in veel gevallen nader moeten informeren voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking mogelijk te maken (zie ook het hiervoor onder r.o. 11.6 geciteerde artikel 33 lid 3 Wbp). De aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat daarvan wordt gemaakt, bepalen of deze nadere informatie nodig is. De verantwoordelijke zal zich telkens moeten afvragen of deze omstandigheden meebrengen dat verwacht mag worden dat de betrokkene een reëel belang heeft bij nadere informatie en zo ja wat de omvang van deze informatie is.
11.12.
De omvang van de informatieverplichting is mede afhankelijk van de wijze waarop het contact tot stand komt. In beginsel zal op de (verwerkings)verantwoordelijke een extra verantwoordelijkheid tot informeren rusten als hij zelf het initiatief neemt tot het contact met de betrokkene. De betrokkene die de verantwoordelijke zelf benadert, zal veelal reeds op de hoogte zijn van diens identiteit en oogmerken. In dat geval moet nog wel het concrete doel van de gegevensverwerking en eventueel aanvullende informatie worden verstrekt.
11.13.
In de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 van 11 april 2018 van de Groep Gegevensbescherming artikel 29 is over de informatieverplichting in de digitale context onder meer het volgende vermeld:
10. Een van de kernelementen van het transparantiebeginsel zoals bedoeld in deze bepalingen is dat betrokkenen van tevoren de reikwijdte en de gevolgen van de verwerking moeten kunnen bepalen en later niet verrast worden door andere manieren waarop hun persoonsgegevens zijn gebruikt. Dit is ook een belangrijk aspect van het beginsel van behoorlijkheid overeenkomstig artikel 5, lid 1, van de AVG, en houdt ook verband met overweging 39, waarin wordt verklaard dat “[n]atuurlijke personen […] bewust [moeten] worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens”. Met betrekking tot complexe, technische of onverwachte gegevensverwerkingen is het standpunt van de WP29 dat verwerkingsverantwoordelijken, behalve de door artikel 13 en 14 voorgeschreven informatie (die later in deze richtsnoeren zal worden behandeld) te verstrekken, ook afzonderlijk, in ondubbelzinnige taal, zouden moeten uitleggen wat de belangrijkste gevolgen van de verwerking zullen zijn. Met andere woorden, welk effect zal de specifieke verwerking die in de privacyverklaring/mededeling wordt beschreven hebben op een betrokkene?
(...)
35. In de digitale context, en in het licht van het volume aan informatie dat aan de betrokkene moet worden verstrekt, kunnen verwerkingsverantwoordelijken een gelaagde aanpak volgen wanneer zij ervoor kiezen om een combinatie van methoden te gebruiken om transparantie te waarborgen. De WP29 beveelt in het bijzonder aan, teneinde informatiemoeheid te voorkomen, om gelaagde privacyverklaringen/mededelingen te gebruiken en daarin links te plaatsen naar de verschillende categorieën informatie die aan de betrokkene moeten worden verstrekt, in plaats van alle informatie in één enkele mededeling op het scherm weer te geven. (...) Opgemerkt zij dat gelaagde privacyverklaringen/mededelingen niet louter ingebedde pagina's zijn waarop gebruikers meerdere keren moeten klikken om bij de desbetreffende informatie te komen. Het ontwerp en de layout van de eerste laag van de privacyverklaring/mededeling dienen zodanig te zijn dat de betrokkene een duidelijk overzicht heeft van de informatie over de verwerking van zijn of haar persoonsgegevens die aan hem of haar beschikbaar is gesteld en van de plaats waar/de wijze waarop hij of zij die gedetailleerde informatie kan vinden binnen de lagen van de privacyverklaring/mededeling. Ook is het belangrijk dat de informatie in de verschillende lagen van een gelaagde privacyverklaring/mededeling met elkaar in overeenstemming is en dat in de verschillende lagen geen met elkaar strijdige informatie wordt gegeven.
36. Met betrekking (...) tot de inhoud van de eerste laag van een gelaagde privacyverklaring/mededeling, beveelt de WP29 aan dat in de eerste laag/regeling details van het doel van de verwerking, de identiteit van de verwerkingsverantwoordelijke en een beschrijving van de rechten van de betrokkene worden gegeven. (Bovendien dient deze informatie bij het verzamelen van de persoonsgegevens rechtstreeks onder de aandacht van de betrokkene te worden gebracht, bijvoorbeeld door de informatie weer te geven wanneer een betrokkene een onlineformulier invult.) (...) De betrokkene zou uit de informatie in de eerste laag/regeling moeten kunnen begrijpen wat de gevolgen van de verwerking in kwestie voor hem of haar zullen zijn (...).
Stelplicht en bewijslast
11.14.
Op grond van artikel 150 Wetboek van Burgerlijke Rechtsvordering (Rv) draagt de partij die zich beroept op de rechtsgevolgen van door haar gestelde feiten of rechten de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.
11.15.
Toepassing van de hoofdregel van artikel 150 Rv brengt mee dat – in het kader van de bijzondere verwerkingen als bedoeld in de vorderingen a.i.1 tot en met a.i.4 – in beginsel op de Stichting de bewijslast rust dat Facebook Ierland de informatieverplichtingen van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG niet heeft nageleefd.
11.16.
Partijen verschillen erover van mening of uit de Wbp en de AVG een andere bewijslastverdeling volgt.
11.17.
Artikel 6 lid 2 van de Privacyrichtlijn bepaalt dat op de voor de verwerking verantwoordelijke de plicht rust om voor de naleving van het bepaalde in lid 1 (kort gezegd: een rechtmatige verwerking van persoonsgegevens) zorg te dragen. Dit volgt eveneens uit artikel 15 Wbp in samenhang gelezen met artikel 6 Wbp.
11.18.
(…) In het verlengde van de richtlijn wordt in het onderhavige wetsvoorstel naast het begrip «toestemming», eveneens de begrippen «ondubbelzinnige toestemming» en «uitdrukkelijke toestemming» gehanteerd. (…)
Er is sprake van een verschuiving van de bewijslast in de richting van de verantwoordelijke: als er twijfel is over de vraag of de betrokkene zijn toestemming heeft verleend dient hij te verifiëren of hij er terecht vanuit gaat dat de betrokkene er mee heeft toegestemd. Tot op zekere hoogte is hier een vergelijkbare situatie als bij de informatieverplichtingen van de verantwoordelijke op grond van de artikelen 33 en 34. Dit verifiëren hoeft niet noodzakelijkerwijs te leiden tot het vragen van een uitdrukkelijke toestemming. Ook anderszins kan de verantwoordelijke informatie verwerven die zijn twijfel dienaangaande wegneemt. (…)
De verantwoordelijke heeft rekening te houden met een dubbele bewijslast. In de eerste plaats moet bij twijfel bewezen kunnen worden, dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten kunnen worden, dat de toestemming aan de gestelde eisen voldoet. Daarbij zal de verantwoordelijke ook moeten kunnen aantonen, dat hij bijvoorbeeld op het punt van informatieverstrekking aan de betrokkene, alles heeft gedaan wat redelijkerwijs van hem mocht worden verwacht.
11.19.
Ingevolge artikel 5 lid 1 en 2 AVG moet de verwerkingsverantwoordelijke kunnen aantonen dat de gegevensverwerking rechtmatig, behoorlijk en transparant is. In artikel 24 lid 1 AVG is bepaald, kort gezegd, dat de verwerkingsverantwoordelijke passende maatregelen moet treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.
11.20.
Naar het oordeel van de rechtbank volgt hieruit dat de Wbp en de AVG een van de hoofdregel van artikel 150 Rv afwijkende regel van bewijslast bevatten, ook op het punt van het al dan niet voldoen aan de informatieplichten van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG. Alhoewel dit in de Wbp minder expliciet is verwoord dan in de AVG, volgt dit ook uit het transparantievereiste. De betrokkene kan alleen dan zijn rechten onder de wet verwezenlijken indien hij op de hoogte is van de verwerking. Het is aan de verwerkingsverantwoordelijke om te bewijzen dat de gegevensverwerking rechtmatig is. Daartoe behoort ook dat de betrokkene vooraf voldoende geïnformeerd wordt over de gegevensverwerking. Op Facebook Ierland – in wier domein zich de betreffende feitelijke gegevens ook hoofdzakelijk bevinden – rust dus de bewijslast dat zij heeft voldaan aan haar informatieverplichtingen.
De informatieplicht voor de vier specifieke gegevensverwerkingen
11.21.
Hierna zal worden ingegaan op de vier specifieke gegevensverwerkingen waarvan de Stichting stelt dat Facebook Ierland de Achterban daarover niet (goed) heeft geïnformeerd.
1. Externe ontwikkelaars (vordering a.i.1)
11.22.
Vanaf april 2010 maakte Facebook c.s. gebruik van een
application programming interface(API) met de naam Graph API versie 1. Een API maakt het mogelijk dat verschillende soorten (software)systemen met elkaar communiceren en informatie uitwisselen. Met de Graph API konden externe ontwikkelaars, zoals bouwers van een applicatie of websitebeheerders, hun applicatie aansluiten op de Facebookdienst. Het ging daarbij bijvoorbeeld om een applicatie in de vorm van een game of quiz. Ook kon een Facebookgebruiker dankzij de API-technologie de inlogfunctie van de Facebookdienst gebruiken om zich aan te melden bij de dienst van een derde partij.
application programming interface(API) met de naam Graph API versie 1. Een API maakt het mogelijk dat verschillende soorten (software)systemen met elkaar communiceren en informatie uitwisselen. Met de Graph API konden externe ontwikkelaars, zoals bouwers van een applicatie of websitebeheerders, hun applicatie aansluiten op de Facebookdienst. Het ging daarbij bijvoorbeeld om een applicatie in de vorm van een game of quiz. Ook kon een Facebookgebruiker dankzij de API-technologie de inlogfunctie van de Facebookdienst gebruiken om zich aan te melden bij de dienst van een derde partij.
11.23.
Voorafgaand aan het eerste gebruik of de installatie van een applicatie van een externe ontwikkelaar werd de Facebookgebruiker om toestemming gevraagd. Daarna verkreeg de externe ontwikkelaar via Graph API versie 1 toegang tot (persoons)gegevens van de betreffende Facebookgebruiker en daarnaast ook toegang tot bepaalde (persoons)gegevens van de Facebookvrienden van die Facebookgebruiker. Die toegang bood de externe ontwikkelaar ook de mogelijkheid om voornoemde gegevens te verzamelen.
11.24.
In april 2014 is de Graph API versie 1 (deels) vervangen door Graph API versie 2. Met deze tweede versie werd externe ontwikkelaars niet langer toegang geboden tot de (persoons)gegevens van Facebookvrienden. Voor bestaande applicaties van externe ontwikkelaars, dat wil zeggen applicaties die vóór 30 april 2014 al toegang hadden tot Graph API versie 1, gold een overgangsperiode. Zij behielden tot en met 30 april 2015 de toegang tot Graph API versie 1. Na laatstgenoemde datum gold een gedwongen migratie naar versie 2, maar – als onvoldoende betwist staat vast dat – meerdere zogeheten
whitelisted developersmet toestemming van Facebook Ierland ook na 30 april 2015 nog gebruik konden maken van Graph API versie 1. In juni 2018 is het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.
whitelisted developersmet toestemming van Facebook Ierland ook na 30 april 2015 nog gebruik konden maken van Graph API versie 1. In juni 2018 is het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.
11.25.
In de kern is het verwijt van de Stichting bij deze vordering dat Facebook Ierland de Achterban gedurende de gehele relevante periode niet, althans niet duidelijk, heeft geïnformeerd over de toegang die Facebook Ierland (via Graph API) aan externe ontwikkelaars verleende tot persoonsgegevens van Nederlandse Facebookgebruikers en hun Facebookvrienden.
11.26.
Facebook Ierland stelt zich op het standpunt dat zij daarover wel naar behoren heeft geïnformeerd. Volgens Facebook Ierland staat in de Gebruikersvoorwaarden en het Gegevensbeleid hoe externe ontwikkelaars in staat waren informatie van gebruikers te verzamelen, met inbegrip van informatie van secundaire gebruikers (Facebookvrienden).
11.27.
Verder heeft Facebook Ierland als meest verstrekkend argument naar voren gebracht dat de Stichting, afgezien van de GSR-applicatie van [naam 1] (die hierna in het kader van vordering a.i.2. afzonderlijk aan de orde komt), geen enkele applicatie van een externe ontwikkelaar heeft geïdentificeerd die door de Achterban is gebruikt. Volgens Facebook Ierland staat dus niet vast dat gegevens van Facebookgebruikers in Nederland zijn verwerkt door externe ontwikkelaars, laat staan dat die gegevens op onoorbare wijze zijn verwerkt.
11.28.
De rechtbank verwerpt dat argument. Vast staat dat vele duizenden applicaties van externe ontwikkelaars in de relevante periode aangesloten zijn geweest op de Facebookdienst. Daaronder bevonden zich ook applicaties van grote en wereldwijd opererende bedrijven, zoals AirBnB, Netflix en Spotify. Gelet hierop kan ervan uit worden gegaan dat ook (een deel van de) Nederlandse Facebookgebruikers in de relevante periode gebruik hebben gemaakt van één of meer applicaties van externe ontwikkelaars. Aan Facebook Ierlands blote stelling, dat niet vast zou staan dat externe ontwikkelaars via de API-technologie ook toegang hebben gehad tot persoonsgegevens van Nederlandse Facebookgebruikers, gaat de rechtbank daarom als niet (voldoende) onderbouwd voorbij.
11.29.
Over de inhoudelijke vraag of voldaan is aan de wettelijke informatieplichten overweegt de rechtbank als volgt.
11.30.
Niet in geschil is dat Facebook Ierland via API Graph versie 1 en 2 externe ontwikkelaars toegang verleende tot persoonsgegevens van Facebookgebruikers en dat die externe ontwikkelaars daarbij ook de mogelijkheid hadden die gegevens te verzamelen. Via API Graph versie 1 werd externe ontwikkelaars daarnaast ook toegang verleend tot (persoons)gegevens van Facebookvrienden. Het hiervoor omschreven verschaffen van toegang is in dit verband de relevante gegevensverwerking waarvoor Facebook Ierland is aan te merken als de (verwerkings)verantwoordelijke.
11.31.
Aangezien Facebook Ierland tegenover de Achterban de (verwerkings)verantwoordelijke is als het gaat om voornoemde gegevensverwerking, rust op haar de verplichting om te voldoen aan de wettelijke informatieverplichtingen. Zij kan zich er dus niet op beroepen dat de externe ontwikkelaar informatie moet verschaffen bij het eerste gebruik of de installatie van een applicatie. De omstandigheid dat gebruikers in de relevante periode in hun instellingen binnen hun Facebookprofiel konden bepalen welke gegevens werden gedeeld met apps van externe ontwikkelaars is in dit verband evenmin doorslaggevend. Het gaat immers erom of de gebruiker vooraf is geïnformeerd dat persoonsgegevens konden worden gedeeld.
11.32.
De rechtbank gaat hierna in op vijf afzonderlijke verwijten die de Stichting maakt:
1. Facebook Ierland heeft niet geïnformeerd dát zij persoonsgegevens van Facebookgebruikers deelde met externe ontwikkelaars;
2. Facebook Ierland heeft niet geïnformeerd over de
doeleindenvan de gegevensverwerking;
doeleindenvan de gegevensverwerking;
3. Facebook Ierland heeft er niet (goed) over geïnformeerd
welke soorten persoonsgegevensmet externe ontwikkelaars werden gedeeld;
welke soorten persoonsgegevensmet externe ontwikkelaars werden gedeeld;
4. Facebook Ierland heeft er niet (goed) over geïnformeerd dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers
via Facebookvriendenmet externe ontwikkelaars werden gedeeld;
via Facebookvriendenmet externe ontwikkelaars werden gedeeld;
5. Facebook Ierland heeft er niet over geïnformeerd dat de
whitelisted developersgebruik konden blijven van Graph API versie 1 en dat zij daardoor ook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden.
whitelisted developersgebruik konden blijven van Graph API versie 1 en dat zij daardoor ook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden.
11.33.
Als eerste moet worden beoordeeld of Facebook Ierland de Achterban heeft geïnformeerd over het delen van persoonsgegevens van de Achterban met externe ontwikkelaars. Facebook Ierland heeft naar voren gebracht dat de Achterban hierover is geïnformeerd via het pop-upvenster dat een Facebookgebruiker te zien kreeg voorafgaand aan het downloaden en installeren van een externe applicatie.
11.34.
Het (voorbeeld) pop-upvenster waarnaar Facebook Ierland verwijst, zag er als volgt uit:
11.35.
Niet ter discussie staat dat een Facebookgebruiker een pop-upvenster te zien kreeg voorafgaand aan de installatie van een applicatie van een externe ontwikkelaar. Hoe het pop-upvenster eruit zag, verschilde per applicatie. Elk pop-upvenster, zo heeft Facebook Ierland onweersproken toegelicht, toonde een lijst met soorten data waartoe de applicatie toegang zou krijgen nadat de Facebookgebruiker daarvoor toestemming gaf. Facebook Ierland heeft dat geïllustreerd aan de hand van het door haar overgelegde voorbeeld van een pop-upvenster.
11.36.
Het door Facebook Ierland overgelegde voorbeeld pop-upvenster is in de Engelse taal. De taal van een dergelijke mededeling speelt een rol bij de vraag of de tekst voldoende begrijpelijk is voor de gemiddelde gebruiker. In de procedure is niet duidelijk geworden of het getoonde voorbeeld ook voor de Nederlandse Facebookgebruiker werd gebruikt of dat daarvoor een Nederlandse variant was gemaakt. Omdat het getoonde pop-upvenster in ieder geval (ook in het Engels) voldoende duidelijk maakt dat de externe ontwikkelaar toegang zal krijgen tot de in dat venster getoonde lijst met soorten data en voor de gemiddelde gebruiker daarmee voldoende duidelijk is dát Facebook Ierland de (persoons)gegevens, behorend tot de in het pop-upvenster genoemde informatiecategorieën, zal delen met de externe ontwikkelaar, zal de rechtbank het antwoord op de vraag in hoeverre het gebruik van de Engelse taal in dit geval tot minder duidelijkheid leidt, in het midden laten. Over de gegevensverwerking als zodanig is de Achterban dus geïnformeerd. Dat betekent dat het eerste verwijt van de Stichting niet terecht is.
11.37.
Als tweede zal worden beoordeeld of Facebook Ierland de Achterban heeft geïnformeerd over de doeleinden waarvoor zij externe ontwikkelaars toegang gaf tot de persoonsgegevens van Facebookgebruikers. Volgens Facebook Ierland heeft zij daarover geïnformeerd via het pop-upvenster dat een Facebookgebruiker te zien kreeg voorafgaand aan de installatie van een externe applicatie en via het Gegevensbeleid van Facebook Ierland.
11.38.
Op basis van het (voorbeeld) pop-upvenster stelt de rechtbank vast dat aan de Facebookgebruiker toestemming werd gevraagd om de applicatie van de externe ontwikkelaar toegang te geven tot verschillende categorieën informatie over de Facebookgebruiker. Voor zover de rechtbank kan nagaan [18] , blijkt uit het pop-upvenster echter niet dat daarin is vermeld met welk doel de applicatie toegang zal krijgen tot die informatiecategorieën. Dat betekent dat ervan uit moet worden gegaan dat de Facebookgebruiker in het pop-upvenster niet is geïnformeerd over de doeleinden van die gegevensverwerking.
11.39.
Facebook Ierland heeft verder nog verwezen naar informatie in het Gegevensbeleid. Zij heeft toegelicht welke informatie in de loop der tijd in de verschillende versies van dat Gegevensbeleid was opgenomen over de toegang van externe applicaties tot persoonsgegevens van Facebookgebruikers en hun Facebookvrienden. De rechtbank is van oordeel dat in het midden kan blijven of het Gegevensbeleid (voldoende concrete) informatie bevatte over de doeleinden van deze gegevensverwerking, omdat het Gegevensbeleid in dit geval niet de geëigende plek is om ten aanzien van deze specifieke vorm van gegevensverwerking de daarvoor relevante informatie te verschaffen.
Daartoe is het volgende van belang. Uitgangspunt is dat de (verwerkings)verantwoordelijke de relevante informatie over gegevensverwerking aan de betrokkene verstrekt op het moment dat het kennisnemen van die informatie voor de betrokkene het meest relevant is.
Dat betekent in dit geval het moment waarop de Facebookgebruiker voornemens is om een externe applicatie te installeren. De betreffende informatie moet dus in beginsel in het pop-upvenster worden verstrekt, want dan is die informatie voor de Facebookgebruiker actueel en relevant. In het pop-upvenster is, zoals hiervoor is vastgesteld, niets vermeld over de verwerkingsdoeleinden. Voor zover Facebook Ierland de gebruiker had willen informeren aan de hand van het Gegevensbeleid had zij in het pop-upvenster een verwijzing naar het Gegevensbeleid moeten opnemen. Dat heeft zij ook niet gedaan. Een Facebookgebruiker wordt weliswaar ten tijde van zijn (eerste) registratie bij de Facebookdienst geattendeerd op het bestaan van het Gegevensbeleid, maar op dat moment is de gegevensverwerking waar het hier om gaat (de toegang van externe ontwikkelaars tot persoonsgegevens van de Facebookgebruiker) nog niet aan de orde en is dat voor de Facebookgebruiker nog niet actueel of relevant. Een algemene verwijzing naar Gegevensbeleid ten tijde van de registratie bij de Facebookdienst kan daarom in dit geval niet worden aangemerkt als het voldoen aan de informatieverplichting voor een specifieke, toekomstige vorm van gegevensverwerking waarvan ten tijde van de registratie nog niet zeker is of die zal plaatsvinden.
11.40.
Uit het voorgaande volgt dat Facebook Ierland de Achterban niet heeft geïnformeerd over de doeleinden waarvoor Facebook Ierland externe ontwikkelaars toegang gaf tot hun persoonsgegevens.
11.41.
Overigens heeft Facebook Ierland in deze procedure ook niet concreet toegelicht voor welk(e) doeleinde(n) precies zij aan externe ontwikkelaars toegang gaf tot persoonsgegevens van Facebookgebruikers. Uit de uiteenzetting over de werking van API Graph maakt de rechtbank op dat het doel van genoemde toegang ten dele technisch-functioneel was, in die zin dat met behulp van de API-technologie een Facebookgebruiker in staat werd gesteld de inlogfunctie van de Facebookdienst te gebruiken om zich aan te melden bij de dienst van een derde partij. Er is echter niet gesteld of gebleken dat de toegang van de externe ontwikkelaars tot de persoonsgegevens van Facebookgebruikers beperkt bleef tot uitsluitend die persoonsgegevens die nodig waren voor de technisch-functionele werking van de API-functionaliteit. Uit de informatie in het hiervoor in r.o. 11.34 opgenomen pop-upvenster blijkt dat een Facebookgebruiker toestemming verleent voor toegang tot een breed scala aan informatie en (persoons)gegevens. Voor een groot deel van die informatie en (persoons)gegevens valt zonder nadere toelichting, die ontbreekt, niet in te zien waarom de toegang daartoe noodzakelijk is voor de technisch-functionele werking van de API-functionaliteit.
11.42.
Als derde moet worden beoordeeld of Facebookgebruikers er door Facebook Ierland naar behoren over zijn geïnformeerd welke soorten persoonsgegevens met externe ontwikkelaars werden gedeeld.
11.43.
Volgens de Stichting hadden externe ontwikkelaars vrijwel onbeperkt toegang tot de persoonsgegevens van de Achterban en informeerde Facebook Ierland daar niet over in de eerste informatielaag. Uit het Gegevensbeleid bleek volgens de Stichting ook niet tot welke soorten persoonsgegevens externe ontwikkelaars toegang hadden; dat stond verstopt in de privacy-instellingen.
11.44.
Naar het oordeel van de rechtbank was op basis van de in het pop-upvenster getoonde lijst met soorten data voor een gemiddelde gebruiker voldoende duidelijk tot welke categorieën informatie toegang werd verleend. Gegeven de omschrijving van die categorieën (zoals
Access posts in my News Feed,
Access my data any time,
Access my profile informationen
Acces my friends’ information, zie het voorbeeld pop-upvenster in r.o. 11.34) was voor de gemiddelde gebruiker ook voldoende duidelijk dat de te geven toestemming een (zeer) ruim bereik had en dat dat dus alle (soorten) persoonsgegevens omvatte binnen de opgesomde informatiecategorieën waarop de gevraagde toestemming zag.
Access posts in my News Feed,
Access my data any time,
Access my profile informationen
Acces my friends’ information, zie het voorbeeld pop-upvenster in r.o. 11.34) was voor de gemiddelde gebruiker ook voldoende duidelijk dat de te geven toestemming een (zeer) ruim bereik had en dat dat dus alle (soorten) persoonsgegevens omvatte binnen de opgesomde informatiecategorieën waarop de gevraagde toestemming zag.
11.45.
In het pop-upvenster is dus toereikend geïnformeerd over de soorten persoonsgegevens waartoe de applicatie van een externe ontwikkelaar toegang werd verleend. Daarmee is niet meer van belang of de Gebruikersvoorwaarden of het Gegevensbeleid daarover voldoende informatie bevatten.
11.46.
In het kader van de vraag of aan de wettelijke informatieverplichtingen is voldaan, komt aan de stelling van de Stichting dat externe ontwikkelaars vrijwel onbeperkt toegang hadden tot persoonsgegevens van de Achterban, geen zelfstandige betekenis toe. Voor zover in die stelling een ander, zelfstandig verwijt besloten ligt, moet dat worden verworpen, omdat de Stichting – tegenover het standpunt van Facebook Ierland dat de persoonsgegevens waartoe een externe applicatie toegang kon krijgen beperkt was tot die informatie waarvoor een Facebookgebruiker toestemming had gegeven – niet (gemotiveerd) heeft gesteld dat externe ontwikkelaars in de praktijk toegang hebben gekregen tot meer informatiecategorieën dan die waren vermeld in het betreffende pop-upvenster en waarvoor de Facebookgebruikers toestemming hadden gegeven.
11.47.
Als vierde moet worden beoordeeld of Facebook Ierland erover heeft geïnformeerd dat Graph API versie 1 het mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden werden gedeeld met externe ontwikkelaars. Volgens de Stichting heeft Facebook Ierland ook op dit punt niet aan haar informatieverplichting voldaan.
11.48.
Facebook Ierland betoogt dat zij de gebruikers van de Facebookdienst in de Gebruikersvoorwaarden en het Gegevensbeleid erover heeft geïnformeerd dat en hoe de persoonsgegevens van gebruikers, afhankelijk van hun individuele privacy-instellingen, door hun Facebookvrienden konden worden gedeeld met de applicaties waarvan deze vrienden op de Facebookdienst gebruik maakten. Facebook Ierland verwijst daartoe met name naar de volgende passages:
- in de Gebruikersvoorwaarden van 8 juni 2012, 11 december 2012 en 15 november 2013:
(…)
- in het Gegevensbeleid van 15 november 2013:
(…)
(…)
- in het Gegevensbeleid van 30 januari 2015 en 29 september 2016:
11.49.
Met Graph API versie 1 verkreeg een externe ontwikkelaar niet alleen toegang tot (persoons)gegevens van de betreffende Facebookgebruiker, maar ook toegang tot bepaalde (persoons)gegevens van de Facebookvrienden van de betreffende Facebookgebruiker. Over dat laatste heeft Facebook Ierland haar gebruikers naar het oordeel van de rechtbank onvoldoende geïnformeerd. Daartoe is het volgende redengevend.
11.50.
Op grond van het karakter van de Facebookdienst hoefde een gemiddelde Facebookgebruiker er bij registratie niet op bedacht te zijn dat via een applicatie van een derde partij, die door een Facebookvriend zou worden geïnstalleerd, een externe ontwikkelaar ook toegang zou krijgen tot de persoonsgegevens van de Facebookgebruiker. Over een dergelijke specifieke en voor de gemiddelde gebruiker niet voorziene vorm van gegevensverwerking moet dus duidelijk worden geïnformeerd. Uit de door Facebook Ierland genoemde passages in de Gebruikersvoorwaarden blijkt niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties. Voor het eerst in het Gegevensbeleid van 15 november 2013 is enige informatie te vinden waaruit een dergelijke gegevensverwerking indirect kan worden opgemaakt. Dat is echter niet in voldoende duidelijke en begrijpelijke bewoordingen gebeurd. Bovendien is het Gegevensbeleid van 15 november 2013 zeer omvangrijk; dat beslaat bijna dertig pagina’s aan informatie. Geconcludeerd moet dan ook worden dat op dit punt sprake is van mededelingen in verhuld taalgebruik tussen een grote hoeveelheid andere gedetailleerde informatie in een onderliggende informatielaag (het Gegevensbeleid). Dergelijke mededelingen voldoen niet aan de eisen van transparant, begrijpelijk en in gemakkelijk toegankelijke vorm informeren over een relevante gegevensverwerking. In het nadien gewijzigde Gegevensbeleid van 30 januari 2015 en 29 september 2016 is de informatievoorziening qua omvang en inhoud anders. Daar is de betreffende informatie zeer beknopt. Uit de door Facebook Ierland aangehaalde passage blijkt echter opnieuw niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties.
11.51.
Facebook Ierland heeft nog aangevoerd dat zij in haar Gegevensbeleid aan gebruikers heeft geadviseerd om de voorwaarden en het beleid van de externe applicaties zelf te lezen om te begrijpen hoe die applicaties met hun gegevens zouden omgaan. Dit argument kan Facebook Ierland niet baten. Zoals eerder is overwogen, is Facebook Ierland de (verwerkings)verantwoordelijke als het gaat om het verlenen van toegang aan de externe ontwikkelaars tot de persoonsgegevens van Facebookgebruikers, zodat Facebook Ierland in verband daarmee aan de wettelijke informatieverplichtingen moet voldoen.
Dat Facebookgebruikers daarnaast controle konden uitoefenen op de gegevens die met externe applicaties werden gedeeld, kan Facebook Ierland evenmin baten, omdat dat er niet aan afdoet dat Facebook Ierland vooraf deugdelijk over de gegevensverwerking moet informeren.
11.52.
In de laatste plaats moet worden beoordeeld of Facebook Ierland erover heeft geïnformeerd dat de
whitelisted developersook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden. De rechtbank is van oordeel dat Facebook Ierland ook op dit punt haar informatieverplichting heeft geschonden. De rechtbank licht dat als volgt toe.
whitelisted developersook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden. De rechtbank is van oordeel dat Facebook Ierland ook op dit punt haar informatieverplichting heeft geschonden. De rechtbank licht dat als volgt toe.
11.53.
Facebook Ierland heeft de in dit verband door de Stichting gestelde gang van zaken niet (voldoende) weersproken. Dat betekent dat van het volgende kan worden uitgegaan. Eind april 2014 heeft Facebook c.s. bij de lancering van Graph API versie 2 publiekelijk aangekondigd dat externe ontwikkelaars met deze API geen toegang meer zouden krijgen tot de gegevens van Facebookvrienden. Facebook c.s. heeft daar niet bij gezegd dat bestaande applicaties in elk geval tot en met 30 april 2015 toegang behielden via Graph API versie 1, met inbegrip van toegang tot de gegevens van Facebookvrienden. Verder zijn Facebookgebruikers er nooit van op de hoogte gesteld dat zogeheten
whitelisted developersook na 30 april 2015 gebruik konden blijven maken van Graph API versie 1 en op die manier toegang behielden tot informatie en persoonsgegevens van Facebookvrienden, terwijl Graph API versie 1 op 30 april 2015 beweerdelijk formeel was afgesloten. De
whitelisted developerswaren gezamenlijk verantwoordelijk voor 5.200 verschillende Facebookapplicaties. In juni 2018 heeft Facebook c.s. het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.
whitelisted developersook na 30 april 2015 gebruik konden blijven maken van Graph API versie 1 en op die manier toegang behielden tot informatie en persoonsgegevens van Facebookvrienden, terwijl Graph API versie 1 op 30 april 2015 beweerdelijk formeel was afgesloten. De
whitelisted developerswaren gezamenlijk verantwoordelijk voor 5.200 verschillende Facebookapplicaties. In juni 2018 heeft Facebook c.s. het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.
11.54.
Met de Stichting is de rechtbank van oordeel dat Facebook Ierland erover had moeten informeren dat de
whitelisted developersook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden, omdat dit informatie is waarvan het, gelet op de omstandigheden waaronder de gegevens van de Facebookvrienden door de
whitelisted developerswerden verkregen, nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. Door daar niet over te informeren, heeft Facebook Ierland de verplichting in artikel 33 lid 3 Wbp geschonden.
whitelisted developersook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden, omdat dit informatie is waarvan het, gelet op de omstandigheden waaronder de gegevens van de Facebookvrienden door de
whitelisted developerswerden verkregen, nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. Door daar niet over te informeren, heeft Facebook Ierland de verplichting in artikel 33 lid 3 Wbp geschonden.
11.55.
De conclusie is dat Facebook Ierland de Achterban gedurende de gehele relevante periode niet heeft geïnformeerd over de doeleinden van de gegevensverwerking (het verlenen van toegang aan de externe ontwikkelaars tot persoonsgegevens van Facebookgebruikers), dat Facebook Ierland de Achterban in de periode van 1 april 2010 tot juni 2018 niet behoorlijk heeft geïnformeerd dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden met externe ontwikkelaars werden gedeeld en dat Facebook Ierland in de periode van april 2014 tot juni 2018 de Achterban niet heeft geïnformeerd dat de
whitelisted developersook na de introductie van Graph API versie 2 gebruik konden blijven maken van Graph API versie 1 en daardoor toegang behielden tot gegevens van Facebookvrienden. Daarmee heeft Facebook Ierland de informatieverplichtingen van artikel 33 leden 2 en 3 Wbp respectievelijk artikel 13 lid 1 AVG geschonden. Aangezien over deze verwerkingen niet goed is geïnformeerd, zijn die verwerkingen onrechtmatig. De door de Stichting gevorderde verklaring voor recht is toewijsbaar als hiervoor omschreven.
whitelisted developersook na de introductie van Graph API versie 2 gebruik konden blijven maken van Graph API versie 1 en daardoor toegang behielden tot gegevens van Facebookvrienden. Daarmee heeft Facebook Ierland de informatieverplichtingen van artikel 33 leden 2 en 3 Wbp respectievelijk artikel 13 lid 1 AVG geschonden. Aangezien over deze verwerkingen niet goed is geïnformeerd, zijn die verwerkingen onrechtmatig. De door de Stichting gevorderde verklaring voor recht is toewijsbaar als hiervoor omschreven.
2. Cambridge Analytica (vordering a.i.2)
11.56.
Vordering a.i.2 heeft betrekking op het door Facebook Ierland toestaan dat onder andere [naam 1] en diens onderneming Global Science Research Ltd (hierna: GSR) toegang hadden tot persoonsgegevens van de Achterban. Volgens de Stichting heeft Facebook Ierland de Achterban niet (duidelijk) geïnformeerd over die toegang. Volgens de Stichting zijn de persoonsgegevens van de Achterban vervolgens door [naam 1] en/of GSR overgedragen aan Cambridge Analytica. Facebook Ierland betoogt dat er geen bewijs is dat gegevens van Nederlandse Facebookgebruikers betrokken waren bij de overdracht door [naam 1] aan Cambridge Analytica. Volgens haar zijn door [naam 1] aan Cambridge Analytica geen gegevens overgedragen van Facebookgebruikers die zich buiten de Verenigde Staten bevonden. Verder verwijst Facebook Ierland naar het door haar gevoerde verweer tegen vordering a.i.1.
11.57.
[naam 1] en GSR boden een applicatie aan (hierna: de GSR-applicatie [19] ) die via de Graph API versie 1 was aangesloten op de Facebookdienst. De Stichting heeft niet betwist dat de GSR-applicatie was onderworpen aan dezelfde voorwaarden en beperkingen als de applicaties van andere externe ontwikkelaars. De GSR-applicatie was actief van mei 2014 tot oktober 2015. Facebook Ierland heeft niet weersproken dat ook gegevens van Nederlandse Facebookgebruikers zijn gedeeld met [naam 1] /GSR.
11.58.
Niet in geschil is dat de GSR-applicatie een applicatie van een externe ontwikkelaar is zoals bedoeld in vordering a.i.1. Hetgeen hiervoor is overwogen en geoordeeld over de verwijten 1 tot en met 4 als genoemd in r.o. 11.32 (in het kader van de vraag of Facebook Ierland de Achterban heeft geïnformeerd over de toegang tot hun persoonsgegevens door externe ontwikkelaars) geldt daarmee ook voor de GSR-applicatie. Dat betekent dat vordering a.i.2. ten aanzien van [naam 1] en GSR op dezelfde wijze toewijsbaar is als vordering a.i.1., met dien verstande dat de GSR-applicatie volgens de Stichting alleen actief was van mei 2014 tot oktober 2015, zodat de verklaring voor recht beperkt is tot die periode. Daarmee is dus op dit punt alleen sprake van een schending van de Wbp.
11.59.
Ten aanzien van Cambridge Analytica Ltd., Cambridge Analytica LLC en SCLE Elections Ltd (hierna samen: Cambridge Analytica c.s.) is vordering a.i.2. niet toewijsbaar. Voor de beoordeling in deze procedure is niet relevant of persoonsgegevens van leden van de Achterban ook bij Cambridge Analytica c.s. terecht zijn gekomen. Ook als dat laatste het geval zou zijn, rustte op Facebook Ierland op dit punt namelijk geen informatieverplichting als bedoeld in artikel 33 of 34 Wbp. Facebook Ierland heeft geen zeggenschap gehad over een eventuele toegang van Cambridge Analytica c.s. tot de persoonsgegevens van de Achterban. Op het moment dat Facebook Ierland de persoonsgegevens verwerkte en [naam 1] /GSR daar toegang toe verleende, wist zij niet dat dergelijke gegevens in de toekomst (ongeoorloofd) door [naam 1] /GSR aan een derde zouden worden verstrekt. Voor een dergelijke verdere verwerking bepaalde Facebook Ierland dus niet het doel en de middelen. Daarvoor kan zij om die reden niet als (verwerkings)verantwoordelijke worden aangemerkt, zodat daar voor Facebook Ierland geen informatieverplichting voor gold als bedoeld in artikel 33 of 34 Wbp.
3. Telefoonnummers ten behoeve van twee-factor-authenticatie (vordering a.i.3)
11.60.
Vordering a.i.3 heeft betrekking op het voor advertentiedoeleinden gebruiken van telefoonnummers die zijn verstrekt in het kader van twee-factor-authenticatie.
11.61.
Twee-factor-authenticatie (hierna: 2FA) is een beveiligingsmethode om gebruikers te beschermen tegen onbevoegde toegang tot hun accounts. Met 2FA vindt een (extra) verificatie plaats van de identiteit van de gebruiker die op een website of applicatie wil inloggen.
11.62.
Vanaf mei 2011 biedt de Facebookdienst gebruikers de mogelijkheid om hun account met 2FA te beveiligen. Die functionaliteit houdt in dat de Facebookgebruiker, indien deze op zijn account wil inloggen vanaf een apparaat dat niet wordt herkend, een aparte inlogcode moet invullen (in aanvulling op de gebruikersnaam en het wachtwoord). Facebookgebruikers die 2FA hebben ingeschakeld, ontvangen de aparte inlogcode per sms op hun mobiele telefoon. Bij de inschakeling van de 2FA-beveiligingsfunctie moeten Facebookgebruikers aangeven welk telefoonnummer zij hiervoor willen gebruiken. Daarbij heeft de Facebookgebruiker de keuze om:
1) het telefoonnummer te gebruiken dat al aan zijn account is toegevoegd (voor zover hij eerder een telefoonnummer had verstrekt) (hierna ook: keuze 1) of
2) een nieuw toe te voegen of ander telefoonnummer te gebruiken (hierna ook: keuze 2).
11.63.
De Stichting stelt dat Facebook Ierland de Achterban er niet (goed) over heeft geïnformeerd dat de door de Achterban ten behoeve van 2FA verstrekte telefoonnummers ook werden gebruikt voor het plaatsen van gerichte advertenties. Facebook Ierland stelt zich op het standpunt dat zij de Achterban wel altijd adequaat heeft geïnformeerd dat die telefoonnummers ook konden worden verwerkt voor het aanbieden van gepersonaliseerde advertenties.
11.64.
Niet ter discussie staat dat Facebook Ierland aan haar verstrekte telefoonnummers mede heeft verwerkt voor advertentiedoeleinden. Naar het oordeel van de rechtbank heeft de Stichting geen zelfstandig belang meer bij een oordeel over de vraag of Facebook Ierland op dit punt de Achterban naar behoren heeft geïnformeerd. De reden daarvoor is dat de rechtbank in dit vonnis (zie hoofdstuk 12) tot het oordeel komt dat Facebook Ierland gedurende de gehele relevante periode geen rechtsgeldige grondslag had om persoonsgegevens van de Achterban voor advertentiedoeleinden te verwerken. Aangezien een telefoonnummer is aan te merken als een persoonsgegeven, geldt dat in hoofdstuk 12 gegeven oordeel ook voor de in het kader van 2FA verstrekte telefoonnummers. Facebook Ierland heeft ook niet gesteld dat zij zich voor de verwerking van die telefoonnummers voor advertentiedoeleinden op een andere rechtsgeldige grondslag kan beroepen. In het bijzonder heeft Facebook Ierland niet gesteld dat zij toestemming heeft verkregen om de in het kader van 2FA verstrekt telefoonnummers voor advertentiedoeleinden te gebruiken. Een dergelijke toestemming blijkt ook niet uit de module die een Facebookgebruiker doorliep in de situatie van keuze 1 of die van keuze 2.
11.65.
Voor de verwerking van die telefoonnummers door Facebook Ierland voor advertentiedoeleinden bestond dus gedurende de gehele relevante periode geen grondslag.
Het ontbreken van een verwerkingsgrondslag is het meest verstrekkende oordeel dat over een gegevensverwerking kan worden gegeven en treft die verwerking in al haar onderdelen. In hoeverre voorafgaand aan een verwerking zonder geldige grondslag door de (verwerkings)verantwoordelijke aan zijn informatieverplichtingen is voldaan, is daarmee in zoverre niet langer relevant. Gelet hierop valt niet in te zien welk belang de Stichting nog heeft bij een oordeel over de door haar als a.i.3 gevorderde verklaring voor recht. Die spitst zich immers toe op het niet informeren over het gebruiken van de ten behoeve van 2FA verstrekte telefoonnummers voor het plaatsen van gerichte advertenties. Voor het recht op (mogelijke) schadevergoeding of de omvang daarvan is een oordeel daarover ook niet van toegevoegde waarde, gelet op het meeromvattende oordeel dat er geen rechtsgeldige grondslag was voor de verwerking van persoonsgegevens voor advertentiedoeleinden.
11.66.
Vordering a.i.3 moet dus bij gebrek aan belang worden afgewezen.
4. ‘Integration partnership’-programma (vordering a.i.4)
11.67.
Vordering a.i.4 heeft betrekking op gegevensverstrekking door Facebook Ierland aan zogeheten
integrated partners.
integrated partners.
11.68.
Integratiepartners zijn bedrijven waarmee Facebook Ierland een samenwerking is aangegaan, waaronder fabrikanten van mobiele telefoons, met als doel om Facebookgebruikers toegang te geven tot de Facebookdienst op uiteenlopende apparaten, besturingsplatforms en besturingssystemen in de periode waarin nog geen
appsvoor mobiele telefoons beschikbaar waren via
app storesvan bijvoorbeeld Apple en Google. In de begindagen van het mobiele-telefoontijdperk was er een grote verscheidenheid aan mobiele telefoons. Facebook Ierland had niet de mogelijkheid om versies van de Facebookapplicatie te bouwen die op elke type telefoon en besturingssysteem konden worden gebruikt. Daarom schakelde zij fabrikanten van apparaten in, zoals Blackberry, Samsung, Microsoft en Sony, om apparaat- en platformintegraties te bouwen. Facebook Ierland verleende aan de integratiepartners rechten voor het gebruik van
application programming interfaces(API’s) om applicaties en functionaliteiten voor de Facebookdienst te kunnen bouwen. Met behulp van die API’s konden Facebookgebruikers bijvoorbeeld op hun mobiele telefoon toegang krijgen tot de (belangrijkste functionaliteiten van de) Facebookdienst. Telkens wanneer een Facebookgebruiker een applicatie van een integratiepartner gebruikte, had het apparaat van de Facebookgebruiker noodzakelijkerwijs interactie via een API. De integratiepartners hadden via die API toegang tot de (persoons)gegevens van die Facebookgebruiker en hun Facebookvrienden. Vanaf 2015 hadden de integratiepartners niet langer toegang (met uitzondering van Blackberry) tot de informatie van Facebookvrienden.
appsvoor mobiele telefoons beschikbaar waren via
app storesvan bijvoorbeeld Apple en Google. In de begindagen van het mobiele-telefoontijdperk was er een grote verscheidenheid aan mobiele telefoons. Facebook Ierland had niet de mogelijkheid om versies van de Facebookapplicatie te bouwen die op elke type telefoon en besturingssysteem konden worden gebruikt. Daarom schakelde zij fabrikanten van apparaten in, zoals Blackberry, Samsung, Microsoft en Sony, om apparaat- en platformintegraties te bouwen. Facebook Ierland verleende aan de integratiepartners rechten voor het gebruik van
application programming interfaces(API’s) om applicaties en functionaliteiten voor de Facebookdienst te kunnen bouwen. Met behulp van die API’s konden Facebookgebruikers bijvoorbeeld op hun mobiele telefoon toegang krijgen tot de (belangrijkste functionaliteiten van de) Facebookdienst. Telkens wanneer een Facebookgebruiker een applicatie van een integratiepartner gebruikte, had het apparaat van de Facebookgebruiker noodzakelijkerwijs interactie via een API. De integratiepartners hadden via die API toegang tot de (persoons)gegevens van die Facebookgebruiker en hun Facebookvrienden. Vanaf 2015 hadden de integratiepartners niet langer toegang (met uitzondering van Blackberry) tot de informatie van Facebookvrienden.
11.69.
De Stichting stelt dat Facebook Ierland de Achterban niet (duidelijk) heeft geïnformeerd over het
integration partnership-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens van de Achterban. Zij voert daartoe het volgende aan. Uit onderzoek van
The New York Timesblijkt dat integratiepartners op gelijke wijze als externe ontwikkelaars toegang hadden tot de persoonsgegevens van Facebookgebruikers die van het partnerschap gebruik maakten, met inbegrip van toegang tot de gegevens van hun Facebookvrienden. Voor het beschikbaar maken van de Facebookdienst op de apparaten van de Facebookgebruikers was het bovendien niet nodig dat integratiepartners toegang kregen tot de persoonsgegevens van Facebookvrienden van een gebruiker. Gelet op de omvang van het delen van persoonsgegevens met de integratiepartners had Facebook Ierland hierover in de eerste informatielaag moeten informeren, maar dat heeft zij niet gedaan. Voor zover het Gegevensbeleid als eerste informatielaag zou moeten worden aangemerkt, bevat dat beleid onvolledige informatie. Daarin is niet geïnformeerd over de doeleinden van de verwerking en welke persoonsgegevens worden verwerkt. Ten slotte plaatst de Stichting vraagtekens bij het standpunt van Facebook Ierland, dat Facebook Ierland met de integratiepartners is overeengekomen dat de door hen ontvangen persoonsgegevens niet voor eigen doeleinden mogen gebruiken. Die overeenkomst is niet overgelegd, zodat onzeker is of het standpunt van Facebook Ierland waar is. Om die reden betwist de Stichting dat standpunt.
integration partnership-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens van de Achterban. Zij voert daartoe het volgende aan. Uit onderzoek van
The New York Timesblijkt dat integratiepartners op gelijke wijze als externe ontwikkelaars toegang hadden tot de persoonsgegevens van Facebookgebruikers die van het partnerschap gebruik maakten, met inbegrip van toegang tot de gegevens van hun Facebookvrienden. Voor het beschikbaar maken van de Facebookdienst op de apparaten van de Facebookgebruikers was het bovendien niet nodig dat integratiepartners toegang kregen tot de persoonsgegevens van Facebookvrienden van een gebruiker. Gelet op de omvang van het delen van persoonsgegevens met de integratiepartners had Facebook Ierland hierover in de eerste informatielaag moeten informeren, maar dat heeft zij niet gedaan. Voor zover het Gegevensbeleid als eerste informatielaag zou moeten worden aangemerkt, bevat dat beleid onvolledige informatie. Daarin is niet geïnformeerd over de doeleinden van de verwerking en welke persoonsgegevens worden verwerkt. Ten slotte plaatst de Stichting vraagtekens bij het standpunt van Facebook Ierland, dat Facebook Ierland met de integratiepartners is overeengekomen dat de door hen ontvangen persoonsgegevens niet voor eigen doeleinden mogen gebruiken. Die overeenkomst is niet overgelegd, zodat onzeker is of het standpunt van Facebook Ierland waar is. Om die reden betwist de Stichting dat standpunt.
11.70.
Facebook Ierland stelt zich op het standpunt dat zij Facebookgebruikers goed heeft geïnformeerd over het
integration partnership-programma en de omstandigheid dat gegevens konden worden gedeeld met integratiepartners. Zij voert daartoe het volgende aan. Gedurende de gehele relevante periode heeft Facebook Ierland duidelijk geïnformeerd over alle aspecten van deze gegevensverwerking. Dat heeft zij gedaan in de verschillende versies van haar Gegevensbeleid. Op de inhoud daarvan zijn Facebookgebruikers gewezen voordat zij zich registreerden bij de Facebookdienst. Verder benadrukt Facebook Ierland dat het integratiepartners niet was toegestaan om de data die zij ontvingen via de API’s voor andere, eigen doeleinden te gebruiken zonder de toestemming van de Facebookgebruiker. De integratiepartners verbonden zich tegenover Facebook Ierland er contractueel ook toe dat zij de gegevens waartoe zij toegang hadden alleen te gebruiken voor het aanbieden van een Facebookervaring.
integration partnership-programma en de omstandigheid dat gegevens konden worden gedeeld met integratiepartners. Zij voert daartoe het volgende aan. Gedurende de gehele relevante periode heeft Facebook Ierland duidelijk geïnformeerd over alle aspecten van deze gegevensverwerking. Dat heeft zij gedaan in de verschillende versies van haar Gegevensbeleid. Op de inhoud daarvan zijn Facebookgebruikers gewezen voordat zij zich registreerden bij de Facebookdienst. Verder benadrukt Facebook Ierland dat het integratiepartners niet was toegestaan om de data die zij ontvingen via de API’s voor andere, eigen doeleinden te gebruiken zonder de toestemming van de Facebookgebruiker. De integratiepartners verbonden zich tegenover Facebook Ierland er contractueel ook toe dat zij de gegevens waartoe zij toegang hadden alleen te gebruiken voor het aanbieden van een Facebookervaring.
11.71.
De rechtbank stelt voorop dat, net als bij de externe ontwikkelaars, onderscheid moet worden gemaakt tussen de gegevensverwerking door Facebook Ierland en de (verdere) gegevensverwerking door de integratiepartners. Voor wat betreft het verlenen van toegang aan integratiepartners tot persoonsgegevens van Facebookgebruikers is Facebook Ierland (verwerkings)verantwoordelijk. Zij bepaalt daarvoor immers (mede) het doel en de middelen. Het verlenen van die toegang is in het kader van vordering a.i.4 dan ook aan te merken als de relevante gegevensverwerking. Op die gegevensverwerking hebben de informatieplichten betrekking. Eventuele verdere gegevensverwerking door de integratiepartners valt buiten de (verwerkings)verantwoordelijkheid van Facebook Ierland. De Stichting heeft namelijk geen relevante feiten of omstandigheden gesteld op basis waarvan kan worden vastgesteld dat Facebook Ierland (mede) doel en middelen bepaalt van eventuele verdere (zelfstandige) gegevensverwerking door de integratiepartners.
11.72.
In het verlengde van het voorgaande is in deze procedure evenmin van belang of Facebook Ierland in de overeenkomsten met de integratiepartners beperkingen heeft opgelegd waarvoor de verkregen persoonsgegevens mogen worden gebruikt. Weliswaar heeft Facebook Ierland in algemene zin een verplichting om zorgvuldig met de persoonsgegevens van haar gebruikers om te gaan en brengt dat onder omstandigheden een verplichting mee om maatregelen te nemen om de (verdere) verwerking van persoonsgegevens aan wie die gegevens worden verstrekt te beperken, maar de Stichting heeft schending van een dergelijke verplichting niet ten grondslag gelegd aan haar vorderingen. Voornoemde verplichting kan ook niet worden geschaard onder de informatieverplichtingen van de artikelen 33 en 34 Wbp of de artikelen 12, 13 en 14 van de AVG, terwijl de door de Stichting gevorderde verklaring voor recht op de schending van die informatieverplichtingen is gebaseerd.
11.73.
Daarmee komt de rechtbank toe aan de vraag of Facebook Ierland haar gebruikers naar behoren heeft geïnformeerd over de toegang die integratiepartners hadden tot de gegevens van Facebookgebruikers en hun Facebookvrienden.
11.74.
Uitgangspunt is dat de (verwerkings)verantwoordelijke de relevante informatie over gegevensverwerking aan de betrokkene verstrekt op het moment dat het kennisnemen van die informatie voor de betrokkene het meest relevant is. Dat is in dit geval het moment waarop de Facebookgebruiker de software van de integratiepartner installeert of activeert en vervolgens op de betreffende integratie inlogt in de Facebookapp. Dan is informatie over die gegevensverwerking immers actueel en relevant. Facebook Ierland heeft niet gesteld of, en zo ja hoe, op dat moment aan de Facebookgebruiker informatie is verstrekt over de toegang van de integratiepartner tot de persoonsgegevens van de Facebookgebruiker en diens Facebookvrienden. Dat betekent dat de rechtbank hierover niets kan vaststellen, zodat moet worden geconcludeerd dat Facebook Ierland op dat moment in het geheel niet heeft geïnformeerd over deze gegevensverwerking. In het midden kan blijven of het Gegevensbeleid over die gegevensverwerking (voldoende concrete) informatie bevatte. omdat gesteld noch gebleken is dat bij het voor het eerst inloggen met gebruikmaking van de integratie van de integratiepartner is verwezen naar het Gegevensbeleid van Facebook Ierland. De omstandigheid dat de Facebookgebruiker bij eerste registratie en aanmelding voor de Facebookdienst is geattendeerd op het bestaan van Gegevensbeleid, is niet van belang, omdat op dat moment de gegevensverwerking waar het hier om gaat nog niet noodzakelijkerwijs aan de orde is, zodat dat dat niet het geëigende moment is om te informeren. Een algemene verwijzing naar Gegevensbeleid ten tijde van de registratie bij de Facebookdienst kan daarom in de gegeven omstandigheden niet worden aangemerkt als het voldoen aan de wettelijke informatieverplichting ter zake van deze gegevensverwerking.
11.75.
Het voorgaande betekent dat het betoog van de Stichting slaagt. Facebook Ierland heeft de Achterban niet geïnformeerd over de toegang van integratiepartners tot persoonsgegevens van Facebookgebruikers en hun Facebookvrienden. Daarmee heeft Facebook Ierland de informatieverplichtingen van artikel 33 leden 2 en 3 Wbp respectievelijk artikel 13 lid 1 AVG geschonden. Aangezien over voornoemde gegevensverwerkingen niet goed is geïnformeerd, zijn die verwerkingen onrechtmatig.
11.76.
Voor wat betreft de periode waarin de schending van deze informatieverplichtingen zich heeft voorgedaan, geldt het volgende. De Stichting heeft gesteld dat Facebook Ierland gedurende de gehele relevante periode de Achterban niet heeft geïnformeerd over de gegevensverstrekking aan integratiepartners. Door Facebook Ierland is niet weersproken dat zij gedurende de gehele relevante periode samenwerkingen heeft gehad met integratiepartners en dat die partners gedurende die gehele periode toegang hadden tot persoonsgegevens van Facebookgebruikers die gebruik maakten van een API-functionaliteit van een integratiepartner. Ook staat vast dat de integratiepartners tot 2015 op die manier eveneens toegang hadden tot de persoonsgegevens van de Facebookvrienden van die Facebookgebruikers. Vanaf 2015 was Blackberry de enige integratiepartner die nog toegang had tot de gegevens van Facebookvrienden. Daarmee staat vast de schending van de informatieverplichting zich over de gehele relevante periode heeft voorgedaan.
11.77.
Met inachtneming van het voorgaande is de gevorderde verklaring voor recht toewijsbaar.
12.Grondslag voor verwerking
12.1.
De Stichting betoogt dat Facebook Ierland geen rechtsgeldige grondslag had voor de verwerking van persoonsgegevens van de Achterban voor advertentiedoeleinden. Door die persoonsgegevens niettemin voor advertentiedoeleinden te verwerken, heeft Facebook Ierland volgens de Stichting de privacyrechten van de Achterban geschonden. Op dit verwijt heeft vordering a.ii.1 betrekking (zie hiervoor r.o. 5.1).
12.2.
Zowel artikel 8 Wbp (dat de implementatie was van artikel 7 Privacyrichtlijn) als artikel 6 AVG bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen.
12.2.1.
Artikel 8 Wbp luidde, voor zover van belang, als volgt:
Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. (…)
d. (…)
e (…)
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
12.2.2.
Artikel 6 lid 1 AVG luidt, voor zover van belang, als volgt.
De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
(…)
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
12.3.
Bescherming van persoonsgegevens is een grondrecht dat onder meer wordt beschermd door artikel 8 EVRM. [20] Bij elke gegevensverwerking, zowel onder de Wbp als onder de AVG, moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dit brengt mee dat de inbreuk op de belangen van een betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwerkelijkt. [21]
12.4.
Zowel onder de Wbp als onder de AVG is het aan de (verwerkings)verantwoordelijke om aan te tonen dat de gegevensverwerking rechtmatig is. [22] Op Facebook Ierland rust dus de bewijslast dat zij over een geldige grondslag beschikte voor de verwerking van persoonsgegevens van Facebookgebruikers voor advertentiedoeleinden.
12.5.
Voor dat deel van de relevante periode dat de Wbp van toepassing was, beroept Facebook Ierland zich op de volgende grondslagen:
i) toestemming (artikel 8 aanhef en onder a Wbp),
ii) contractuele noodzaak (artikel 8 aanhef en onder b Wbp) en
iii) gerechtvaardigd belang (artikel 8 aanhef en onder f Wbp).
12.6.
Voor dat deel van de relevante periode dat de AVG van toepassing was, beroept Facebook Ierland zich in zijn algemeenheid (uitsluitend) op de grondslag contractuele noodzaak (artikel 6 onder b AVG). Voor een aantal specifieke situaties beroept Facebook Ierland zich onder de AVG op toestemming (artikel 6 onder a AVG). Of in die specifieke situaties voldaan is aan de vereisten voor toestemming, ligt in deze procedure niet ter beoordeling voor, met uitzondering van de verwerking van bijzondere persoonsgegevens (zie hierna hoofdstuk 13 van dit vonnis).
12.7.
De rechtbank zal hierna eerst de door Facebook Ierland aangevoerde grondslag van contractuele noodzaak (artikel 8 aanhef en onder a Wbp; artikel 6 lid 1 onder a AVG) beoordelen, omdat deze grondslag voor de gehele relevante periode is ingeroepen.
Contractuele noodzaak als verwerkingsgrondslag?
12.8.
Facebook Ierland stelt zich op het standpunt dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was om uitvoering te geven aan de overeenkomst. Zij voert daartoe het volgende aan. De Facebookdienst is in de kern een gepersonaliseerde dienst, hetgeen ook blijkt uit de Gebruikersvoorwaarden. Het aanbieden van gepersonaliseerde inhoud omvatte ook (gerichte) advertenties. In de Gebruikersvoorwaarden, waarmee een gebruiker instemt bij registratie, zijn de rechten en plichten van partijen vastgelegd. In het kader van die voorwaarden heeft Facebook Ierland zich ertoe verbonden de Facebookdienst te verlenen. De Gebruikersvoorwaarden bevatten ten tijde van de Wbp steeds een onderdeel met de titel “Over advertenties en andere commerciële inhoud die worden geboden of verbeterd door Facebook”. Daarin werd beschreven dat de advertenties waardevol voor gebruikers moesten zijn. Ook ten tijde van de AVG is in de voorwaarden aan gebruikers duidelijk gemaakt dat zij reclame te zien krijgen die op hun interesses is afgestemd. De verwerking van persoonsgegevens voor het kunnen aanbieden van gepersonaliseerde inhoud, waaronder advertenties, behoorde dus tot de kern van de dienst die Facebook Ierland aanbood en leverde. Daarom was deze verwerking voor Facebook Ierland volgens haar noodzakelijk om haar contractuele verplichtingen na te kunnen komen.
12.9.
De Stichting bestrijdt dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was voor de uitvoering van de gebruikersovereenkomst tussen Facebook Ierland en de leden van de Achterban. Daartoe voert de Stichting aan dat voor een gebruiker de personalisatie van advertenties niet de reden is om zich aan te melden voor de Facebookdienst. De kerngedachte van de Facebookdienst is het aanbieden van een sociaal netwerk waarmee gebruikers in staat zijn contacten met anderen te kunnen onderhouden. Gebruikers hoefden ook niet te verwachten dat hen gerichte en gepersonaliseerde advertenties worden aangeboden. De Stichting verwijst naar richtsnoeren van de EDPB uit 2019 over de toepassing van de AVG. Daaruit staat dat de verwerking van persoonsgegevens voor ‘behavioural advertising’ niet noodzakelijk is voor de uitvoering van een overeenkomst. Volgens de Stichting kan een sociaal netwerk, zoals de Facebookdienst, overigens ook worden aangeboden zonder persoonsgegevens te verwerken voor commerciële of advertentiedoeleinden.
12.10.
De rechtbank overweegt als volgt.
12.11.
Voor de door Facebook Ierland ingeroepen grond van contractuele noodzaak is vereist dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk is voor de uitvoering van de overeenkomst tussen Facebook Ierland en de gebruiker van de Facebookdienst. Er is, mede gelet op hetgeen hierna in r.o. 12.13 wordt overwogen, geen reden om deze grondslag onder de Wbp anders uit te leggen dan onder de AVG. Qua bewoordingen stemmen artikel 8 Wbp en artikel 6 AVG op dit punt bovendien overeen.
12.12.
Uit de rechtspraak van het HvJ EU volgt dat het begrip ‘noodzakelijk’ in de verschillende onderdelen van artikel 7 van de Privacyrichtlijn en artikel 6 AVG een autonoom begrip van het Unierecht is. [23] Over de uitleg van het criterium “noodzakelijk voor de uitvoering van de overeenkomst” heeft het HvJ EU zich nog niet uitgelaten.
12.13.
Voor de uitleg van de grondslag ‘contractuele noodzaak’ acht de rechtbank mede van belang de adviezen en richtsnoeren van de Werkgroep Gegevensbescherming Artikel 29 (hierna ook: WP29) en van de European Data Protection Board (hierna: EDPB). WP29 was ten tijde van de Wbp het onafhankelijke advies- en overlegorgaan van Europese privacy-toezichthouders en bestond uit de nationale privacy-toezichthouders van de EU-lidstaten en de European Data Protection Supervisor (EDPS). De EDPS houdt toezicht op de verwerking van persoonsgegevens bij de instellingen en organen van de EU. WP29 had een onafhankelijk en raadgevend karakter (artikel 29 lid 1 Privacyrichtlijn) en haar belangrijkste taak was het bevorderen van een uniforme toepassing van de principes uit de Privacyrichtlijn (artikel 30 lid 1, onderdeel a, Privacyrichtlijn). EDPB is sinds de inwerkingtreding van de AVG de opvolger van WP29.
12.13.1.
In het advies 06/2014 van WP29 over artikel 7 van de Privacyrichtlijn (waarvan artikel 8 Wbp de implementatie vormde) staat onder meer het volgende [24] :
De bepaling [artikel 7 onder b van de Privacyrichtlijn,
toevoeging rechtbank] moet strikt worden geïnterpreteerd en dekt geen situaties waarin de verwerking niet daadwerkelijk noodzakelijk is voor de uitvoering van een overeenkomst, maar eerder eenzijdig is opgelegd aan de betrokkene door de voor de verwerking verantwoordelijke. Ook het feit dat de verwerking van bepaalde gegevens valt onder een overeenkomst houdt niet automatisch in dat de verwerking noodzakelijk is voor de uitvoering ervan. Artikel 7, onder b), is bijvoorbeeld geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen. De reden hiervoor is dat de voor de verwerking verantwoordelijke niet is aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren. Zelfs als deze verwerkingsactiviteiten specifiek worden vermeld in de kleine lettertjes van de overeenkomst, dan nog is dit feit alleen niet voldoende om de verwerking "noodzakelijk" te maken voor de uitvoering van de overeenkomst.
toevoeging rechtbank] moet strikt worden geïnterpreteerd en dekt geen situaties waarin de verwerking niet daadwerkelijk noodzakelijk is voor de uitvoering van een overeenkomst, maar eerder eenzijdig is opgelegd aan de betrokkene door de voor de verwerking verantwoordelijke. Ook het feit dat de verwerking van bepaalde gegevens valt onder een overeenkomst houdt niet automatisch in dat de verwerking noodzakelijk is voor de uitvoering ervan. Artikel 7, onder b), is bijvoorbeeld geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen. De reden hiervoor is dat de voor de verwerking verantwoordelijke niet is aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren. Zelfs als deze verwerkingsactiviteiten specifiek worden vermeld in de kleine lettertjes van de overeenkomst, dan nog is dit feit alleen niet voldoende om de verwerking "noodzakelijk" te maken voor de uitvoering van de overeenkomst.
Er bestaat hier een duidelijk verband tussen de beoordeling van de noodzaak en de naleving van het doelbindingsbeginsel. Het is van belang om de exacte achterliggende reden van de overeenkomst vast te stellen, d.w.z. de inhoud en de basisdoelstelling daarvan, aangezien dit zal worden gebruikt om te beoordelen of de gegevensverwerking noodzakelijk is voor de uitvoering.
12.13.2.
In de richtsnoeren 2/2019 van de EDPB over artikel 6 onder b van de AVG in het kader van de verlening van onlinediensten staat onder meer het volgende [25] :
23. (…) moet worden opgemerkt dat het begrip “noodzakelijk voor de uitvoering van een
overeenkomst” niet eenvoudigweg een beoordeling is van wat is toegestaan of opgenomen in de voorwaarden van een overeenkomst. Het begrip “noodzakelijkheid” heeft in het Unierecht een onafhankelijke betekenis, die de doelstellingen van de gegevensbeschermingswetgeving moet weergeven.
(…)
27. (…) Wanneer een verwerkingsverantwoordelijke wil aantonen dat de verwerking is gebaseerd op de uitvoering van een overeenkomst met de betrokkene, is het van belang te beoordelen wat
objectief gezien noodzakelijkis om de overeenkomst uit te voeren. Het begrip “noodzakelijk voor de uitvoering” vereist duidelijk meer dan een contractuele bepaling.
objectief gezien noodzakelijkis om de overeenkomst uit te voeren. Het begrip “noodzakelijk voor de uitvoering” vereist duidelijk meer dan een contractuele bepaling.
(…)
30. Bij de beoordeling of artikel 6, lid 1, onder b) een geschikte rechtsgrondslag is voor verwerking in het kader van een contractuele onlinedienst, moet worden gekeken naar het specifieke doel, het doeleinde of de doelstelling van de dienst. Artikel 6, lid 1, onder b) is alleen toepasselijk als de verwerking
objectief gezien noodzakelijkis voor een doeleinde dat integraal is voor de verlening van die contractuele dienst aan de betrokkene. De verwerking van betalings-gegevens voor de betaling voor de dienst is niet uitgesloten. De verwerkingsverantwoordelijke moet kunnen aantonen hoe het belangrijkste onderwerp van de
specifieke overeenkomst met de betrokkenefeitelijk niet kan worden uitgevoerd als de specifieke verwerking van de
betreffende persoonsgegevensniet plaatsvindt. Het belangrijkste punt is hier de samenhang tussen de persoonsgegevens en de betreffende verwerkingsactiviteiten en het al dan niet uitvoeren van de in het kader van de overeenkomst verleende dienst.
objectief gezien noodzakelijkis voor een doeleinde dat integraal is voor de verlening van die contractuele dienst aan de betrokkene. De verwerking van betalings-gegevens voor de betaling voor de dienst is niet uitgesloten. De verwerkingsverantwoordelijke moet kunnen aantonen hoe het belangrijkste onderwerp van de
specifieke overeenkomst met de betrokkenefeitelijk niet kan worden uitgevoerd als de specifieke verwerking van de
betreffende persoonsgegevensniet plaatsvindt. Het belangrijkste punt is hier de samenhang tussen de persoonsgegevens en de betreffende verwerkingsactiviteiten en het al dan niet uitvoeren van de in het kader van de overeenkomst verleende dienst.
(…)
32. De verwerkingsverantwoordelijke moet de noodzakelijkheid van de verwerking kunnen
rechtvaardigen door te verwijzen naar de belangrijkste en wederzijds begrepen doelstelling van de overeenkomst. Dit is niet alleen afhankelijk van het perspectief van de verwerkingsverantwoorde-lijke, maar ook van het perspectief van een redelijke betrokkene wanneer deze de overeenkomst aangaat en of de overeenkomst nog steeds kan worden beschouwd als “uitgevoerd” zonder de betreffende verwerking. (…)
33. Bij de uitvoering van de beoordeling of artikel 6, lid 1, onder b) van toepassing is, kunnen de volgende vragen dienen als richtsnoeren:
• Wat is de aard van de dienst die wordt verleend aan de betrokkene? Wat zijn de
onderscheidende kenmerken ervan?
• Wat is de exacte rationale van de overeenkomst (d.w.z. de wezenlijke inhoud en
fundamentele doelstelling)?
• Wat zijn de essentiële elementen van de overeenkomst?
• Wat zijn de perspectieven en verwachtingen van beide partijen bij de overeenkomst? Hoe
wordt de dienst gepromoot bij de betrokkene of hoe wordt ervoor reclame gemaakt? Zou
een normale gebruiker van de dienst redelijkerwijs verwachten dat, gelet op de aard van
de dienst, de beoogde verwerking zou plaatsvinden om de overeenkomst waar zij partij bij
zijn, uit te voeren?
(…)
51. Advertenties op basis van surfgedrag, en het daarbij behorende bijhouden en profileren van
betrokkenen, wordt vaak gebruikt om online diensten te financieren. (…)
52. Als algemene regel geldt dat de verwerking van persoonsgegevens voor advertenties op basis van surfgedrag niet noodzakelijk is voor de uitvoering van een overeenkomst voor onlinediensten. Normaal gesproken is het moeilijk om te beweren dat de overeenkomst niet zou zijn uitgevoerd omdat er geen sprake was van advertenties op basis van surfgedrag. (…)
53. Daarnaast kan artikel 6, lid 1, onder b) geen rechtmatige grondslag bieden voor advertenties op basis van surfgedrag omdat dergelijke advertenties indirect de verlening van de dienst financieren. Hoewel een dergelijke verwerking de verlening van een dienst kan ondersteunen, is dit op zichzelf niet voldoende om vast te stellen dat deze noodzakelijk is voor de uitvoering van de betreffende overeenkomst. De verwerkingsverantwoordelijke moet de in punt 33 genoemde factoren in overweging nemen.
12.14.
Uit het voorgaande volgt dat de verwerkingsgrond van contractuele noodzaak strikt moet worden geïnterpreteerd, waarbij het van belang is om vast te stellen of de verwerking daadwerkelijk en objectief noodzakelijk is voor de uitvoering van de overeenkomst. Daarbij speelt ook een rol wat de gebruiker redelijkerwijs mocht verwachten.
12.15.
Het meest wezenlijke kenmerk van de overeenkomst die een gebruiker van de Facebookdienst aangaat met Facebook Ierland is naar het oordeel van de rechtbank het aanbieden van (een profiel op) een sociaal netwerk. Dat is ook wat een gemiddelde gebruiker als de belangrijkste doelstelling van de gebruikersovereenkomst mocht begrijpen. De Facebookdienst presenteert zich immers als een sociaal media-platform en een sociaal netwerk. Zo staat, voorafgaand aan registratie of aanmelding, op het startscherm van de website van de Facebookdienst in grote letters: “Met Facebook ben je verbonden en deel je alles met iedereen in je leven.” Dat de nadruk ligt op het karakter van sociaal netwerk en het onderhouden van contacten met anderen, blijkt ook uit de manier waarop (een profiel op) het Facebookplatform is ingericht, met prominente aandacht voor (het zoeken van) vrienden en het delen van informatie. Dat Facebook Ierland haar gebruikers daarnaast gepersonaliseerde advertenties toont en zich daartoe naar eigen zeggen heeft verplicht in de gebruikersovereenkomst, is in zoverre van ondergeschikt belang en zodoende niet beslissend.
12.16.
Aangezien de belangrijkste en wederzijds begrepen doelstelling van de gebruikersovereenkomst het aanbieden van een profiel op een sociaal netwerk is, moet de vraag naar de noodzakelijkheid in het licht van die doelstelling worden beoordeeld. Gesteld noch gebleken is dat het aanbieden van een profiel op het sociale netwerk feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt. Dat dat niet zou kunnen, staat dus niet vast. Voor het aanbieden van een profiel op het sociale netwerk van het Facebookplatform is dus niet objectief en daadwerkelijk noodzakelijk dat Facebook Ierland persoonsgegevens van een gebruiker verwerkt voor advertentiedoeleinden.
12.17.
De conclusie is daarom dat de verwerking van persoonsgegevens voor advertentiedoeleinden niet noodzakelijk is voor de uitvoering van de overeenkomst tussen Facebook Ierland en een gebruiker van de Facebookdienst. Facebook Ierland kan dus noch onder de Wbp, noch onder de AVG een geslaagd beroep doen op contractuele noodzaak (als bedoeld in artikel 8 aanhef en onder b Wbp respectievelijk artikel 6 lid 1 onder b AVG) als verwerkingsgrondslag.
12.18.
Dat betekent dat gedurende het deel van de relevante periode dat de AVG gold er geen rechtsgeldige grondslag was voor verwerking door Facebook Ierland van (algemene) persoonsgegevens van gebruikers voor advertentiedoeleinden.
12.19.
Voor de periode dat de Wbp van toepassing was, zullen hierna de twee andere door Facebook Ierland aangevoerde grondslagen (toestemming en gerechtvaardigd belang) nog worden beoordeeld.
Toestemming als verwerkingsgrondslag?
12.20.
Facebook Ierland stelt zich op het standpunt dat zij van de gebruikers toestemming heeft verkregen om hun persoonsgegevens te verwerken voor advertentiedoeleinden en zij voert daartoe het volgende aan. Onder de Wbp kon toestemming worden verkregen door aan betrokkenen voorwaarden en beleid aan te bieden waarin zij werden geïnformeerd over gegevensverwerking en door zeker te stellen dat betrokkenen bevestigden de voorwaarden en het beleid te hebben gelezen. In haar Gegevensbeleid informeerde Facebook Ierland gebruikers over de verwerking van persoonsgegevens voor advertentiedoeleinden. Facebook Ierland zorgde er tot 2015 voor dat gebruikers bevestigden dat zij het Gegevensbeleid hadden gelezen (en in de periode 2015-2018 daarmee instemden) voordat zij zich registreerden bij de Facebookdienst. Facebookgebruikers hebben bij registratie dus uitdrukkelijk ingestemd met de verwerking van hun persoonsgegevens in overeenstemming met het Gegevensbeleid. In alle versies van het Gegevensbeleid die in de loop der tijd van kracht waren, is steeds duidelijk gemaakt dat Facebook Ierland de verzamelde persoonsgegevens gebruikte om advertenties te kunnen personaliseren.
Er is geen verplichting om alle informatie over de gegevensverwerking in de eerste informatielaag te verstrekken. Volgens de aanbevelingen van WP29 is een gelaagde informatiestructuur toegestaan en heeft dat zelfs de voorkeur, onder meer om informatiemoeheid te voorkomen. Het Gegevensbeleid van Facebook Ierland was zo ontworpen dat het voor gebruikers zo makkelijk mogelijk te lezen en te navigeren was. In dat Gegevensbeleid werd doorverwezen naar andere pagina’s waar verdere informatie te vinden was. Voor gebruikers gold overigens ook een zekere onderzoeksplicht. Van wijzigingen in het Gegevensbeleid werden bestaande gebruikers op de hoogte gesteld door middel van onder meer notificaties en e-mailberichten.
12.21.
De Stichting neemt het standpunt in dat Facebook Ierland geen rechtsgeldige toestemming heeft verkregen. Zij voert daartoe, kort gezegd, het volgende aan. Op geen enkel moment in de relevante periode heeft Facebook Ierland de Achterban goed geïnformeerd over de verwerking van persoonsgegevens voor advertentiedoeleinden.
Informatie over de doeleinden van de gegevensverwerking was versnipperd en bevond zich niet in de eerste informatielaag. Het gelaagde privacybeleid van Facebook Ierland was zodanig onduidelijk en onoverzichtelijk ingericht dat het voor gebruikers niet goed mogelijk was te begrijpen wat er met hun persoonsgegevens gebeurde. In plaats van alle relevante informatie over de gegevensverwerking beknopt en duidelijk in de eerste informatielaag te verstrekken, is het versnipperd en onoverzichtelijk aangeboden. Zelfs als het Gegevensbeleid in zijn geheel als de eerste informatielaag zou moeten worden aangemerkt, stond de relevante informatie daar niet beknopt, transparant en met heldere bewoordingen in. De gevraagde toestemming voor de gegevensverwerking was verstopt in de Gebruikersvoorwaarden. De Achterban kon niet weten waar zij mee zou instemmen. De gevraagde toestemming voldeed daarmee niet aan de eisen van vrij, specifiek, geïnformeerd en ondubbelzinnig.
Toetsingskader
12.22.
Bij de betekenis en uitleg van het begrip toestemming neemt de rechtbank het volgende in aanmerking.
12.23.
Toestemming moet voorafgaand aan de gegevensverwerking worden verkregen.
12.24.
In artikel 1 aanhef en onder i Wbp (als implementatie van artikel 2 onder h van de Privacyrichtlijn) is het begrip toestemming als volgt gedefinieerd: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. In artikel 8 aanhef en onder a Wbp is bepaald dat de toestemming ondubbelzinnig moet zijn verleend.
12.25.
Dit betekent dat een wilsuiting aan de volgende eisen moet voldoen, voordat sprake is van toestemming als bedoeld in artikel 8 Wbp. De wilsuiting moet 1) vrij, 2) specifiek, 3) geïnformeerd en 4) ondubbelzinnig zijn. Daarnaast moet de wilsuiting gericht zijn op aanvaarding van de verwerking van de betrokkene betreffende persoonsgegevens.
12.25.1.
Dat de wilsuiting vrij moet zijn, houdt in dat de keuze in vrijheid wordt gemaakt, dus zonder dat sprake is van bijvoorbeeld bedrog, intimidatie of dwang. Ook mag het niet zo zijn dat de betrokkene het risico van aanzienlijke negatieve gevolgen loopt wanneer hij niet toestemt.
12.25.2.
Dat de wilsuiting specifiek moet zijn, betekent dat deze betrekking moet hebben op een bepaalde gegevensverwerking. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. [26]
12.25.3.
Dat de wilsuiting op informatie moet berusten (
informed consent), houdt in dat aan de betrokkene voldoende informatie moet zijn verstrekt om hem in staat te stellen een goed geïnformeerde beslissing te nemen. De betrokkene moet op duidelijke en begrijpelijke wijze worden geïnformeerd over alle relevante aspecten. In dit verband zijn ook de informatieverplichtingen van artikel 33 en 34 Wbp van belang. In de MvT bij de Wbp staat over het vereiste van
informed consentonder meer het volgende [27] :
informed consent), houdt in dat aan de betrokkene voldoende informatie moet zijn verstrekt om hem in staat te stellen een goed geïnformeerde beslissing te nemen. De betrokkene moet op duidelijke en begrijpelijke wijze worden geïnformeerd over alle relevante aspecten. In dit verband zijn ook de informatieverplichtingen van artikel 33 en 34 Wbp van belang. In de MvT bij de Wbp staat over het vereiste van
informed consentonder meer het volgende [27] :
(…) de betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht. (…) Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking. Deze (informatie-)plicht berust in beginsel bij de verantwoordelijke c.q. bewerker. De betrokkene moet voldoende en begrijpelijk door de verantwoordelijke word[en] geïnformeerd over de verschillende aspecten van de gegevensverwerking die voor hem van belang zijn. De informatieplicht van de verantwoordelijke wordt begrensd door de feiten die de betrokkene reeds kent of zou moeten kennen. De informatieplicht van de verantwoordelijke impliceert niet dat de betrokkene geen enkele verantwoordelijkheid draagt. De betrokkene heeft een zekere onderzoeksplicht voor hij een oordeel geeft. Bepalend voor de mate waarin de verantwoordelijke de betrokkene moet informeren dan wel de betrokkene zelf op onderzoek moet uitgaan is wat in het maatschappelijk verkeer redelijkerwijs mag worden verwacht. Dit zal moeten worden bepaald aan de hand van een weging van alle omstandigheden van het concrete geval. Factoren die bij weging een rol kunnen spelen zijn de betreffende soort gegevens, de verwerkingen die verantwoordelijke wil verrichten alsmede de context waarin deze verwerkingen zullen plaatsvinden, de eventuele derden aan wie de gegevens kunnen worden verstrekt enz., maar ook de maatschappelijke positie en onderlinge verhouding tussen de verantwoordelijke en de betrokkene alsmede de wijze waarop zij met elkaar in contact zijn getreden.
12.25.4.
Het vereiste dat de toestemming ondubbelzinnig wordt verleend, betekent dat in redelijkheid geen twijfel bestaat over de intentie van de betrokkene bij het verlenen van zijn toestemming. De betrokkene moet zijn instemming kenbaar maken met een positieve actie. In de MvT bij de Wbp staat over dit vereiste onder meer het volgende [28] :
Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. Deze expliciete wilsuiting kan op verschillende wijzen tot stand komen. Het meest voor de hand liggend is uiteraard de expliciete mondelinge of schriftelijke toestemming van de betrokkene voor de verwerking. Maar ook uit het gedrag van de betrokkene kan onder omstandigheden diens uitdrukkelijke toestemming worden afgeleid. Het invullen van een formulier ten behoeve van het aanvragen van een bepaalde dienst zal bijvoorbeeld onder omstandigheden als het verlenen van uitdrukkelijke toestemming door de betrokkene mogen worden beschouwd, namelijk indien het voor de betrokkene uit de context waarin hij het formulier invult, duidelijk is dat zijn persoonsgegevens worden verwerkt en voor welk doel.
12.26.
De rechtbank acht voor de uitleg van het begrip toestemming in de Privacyrichtlijn ook de adviezen van WP29 van belang. Aangezien het in deze procedure gaat om dienstverlening die online plaatsvindt, betrekt de rechtbank daarnaast ook de richtsnoeren van EDPB daarbij, voor zover die richtsnoeren zien op informatieverplichtingen in de digitale context.
12.27.
In 2011 heeft WP29 een uitgebreid advies uitgebracht over de definitie van het begrip toestemming in de Privacyrichtlijn. In dat advies staat onder meer het volgende [29] :
Wil een toestemming specifiek zijn, dan moet zij om te beginnen begrijpelijk zijn: uit de
formulering van de toestemming moet duidelijk zijn dat de betrokkene precies op de
hoogte is van de reikwijdte en de gevolgen van de gegevensverwerking waarvoor hij
zijn toestemming geeft. De toestemming kan niet betrekking hebben op een open reeks
van verwerkingactiviteiten. (…)
De verschillende elementen van de verwerking moeten duidelijk worden omschreven en
voor elk element is toestemming vereist. De toestemming heeft met name betrekking op
de gegevens die worden verwerkt en de doeleinden waarvoor dat gebeurt. Het begrip
hiervan moet zijn gebaseerd op de redelijke verwachtingen van de partijen. Het is dan
ook inherent aan een “specifieke toestemming” dat deze op informatie berust (
informed
informed
consent). Voor de toestemming die met betrekking tot de verschillende elementen van
een verwerking wordt verleend, bestaat het vereiste van gedifferentieerdheid: de
toestemming kan niet worden geacht betrekking te hebben op “alle gerechtvaardigde
doeleinden” van de voor de verwerking verantwoordelijke. Verder kan zij (…) alleen
betrekking hebben op verwerkingen die gezien het doeleinde ervan redelijk en
noodzakelijk zijn.
(…)
• Kwaliteit van de informatie − De wijze waarop de informatie is verstrekt (in heldere en begrijpelijke taal, zonder jargon, opvallend) is cruciaal bij het beoordelen van de vraag of de toestemming met kennis van zaken (
informed) is gegeven. De wijze waarop de betrokkene moet worden geïnformeerd, hangt af van de context: een doorsneegebruiker moet het kunnen begrijpen.
informed) is gegeven. De wijze waarop de betrokkene moet worden geïnformeerd, hangt af van de context: een doorsneegebruiker moet het kunnen begrijpen.
• Toegankelijkheid en zichtbaarheid van de informatie − De informatie moet rechtstreeks aan de betrokkene worden verstrekt. Het volstaat niet om de informatie ergens “beschikbaar” te maken. (…) De informatie moet duidelijk zichtbaar (type en grootte van de letters), opvallend en volledig zijn. Dialoogframes kunnen worden gebruikt om op het moment dat de toestemming wordt gevraagd, specifieke informatie te geven. Zoals hierboven al is opgemerkt in verband met “specifieke toestemming”, zijn online-informatieinstrumenten vooral nuttig in verband met sociale-netwerkdiensten, om te zorgen voor voldoende gedifferentieerdheid en duidelijkheid met betrekking tot privacy-instellingen. Ook het gebruik van gelaagde berichten kan zinvol zijn, omdat de noodzakelijke informatie zo op een gemakkelijk toegankelijke manier kan worden verstrekt.
(…)
• Een toestemming moet
specifiekzijn. Een algemene toestemming zonder dat precies
specifiekzijn. Een algemene toestemming zonder dat precies
is aangegeven wat het doel is van de verwerking waarmee de betrokkene instemt,
voldoet niet aan dit vereiste. Dat betekent dat de informatie over het doel van de
verwerking niet in de algemene voorwaarden moet worden opgenomen, maar in een
aparte toestemmingsclausule.
• Een toestemming moet
op informatie berusten. (…) Uit het vereiste dat een toestemming op informatie moet berusten, vloeien twee aanvullende vereisten voort. Ten eerste moet de informatie in een voor de betrokkene begrijpelijke taal worden verstrekt, zodat hij begrijpt waarin hij toestemt. Dit is contextueel. Het verstrekken van informatie waarin te gecompliceerd juridisch of technisch jargon wordt gebruikt, voldoet niet aan de wettelijke vereisten. Ten tweede moet de verstrekte informatie duidelijk en voldoende opvallend zijn, zodat zij niet over het hoofd wordt gezien. De informatie moet rechtstreeks aan de betrokkene worden verstrekt. Het volstaat niet om de informatie ergens “beschikbaar” te maken.
op informatie berusten. (…) Uit het vereiste dat een toestemming op informatie moet berusten, vloeien twee aanvullende vereisten voort. Ten eerste moet de informatie in een voor de betrokkene begrijpelijke taal worden verstrekt, zodat hij begrijpt waarin hij toestemt. Dit is contextueel. Het verstrekken van informatie waarin te gecompliceerd juridisch of technisch jargon wordt gebruikt, voldoet niet aan de wettelijke vereisten. Ten tweede moet de verstrekte informatie duidelijk en voldoende opvallend zijn, zodat zij niet over het hoofd wordt gezien. De informatie moet rechtstreeks aan de betrokkene worden verstrekt. Het volstaat niet om de informatie ergens “beschikbaar” te maken.
(…)
• Voor andere dan gevoelige gegevens moet de toestemming ingevolge artikel 7, onder a),
ondubbelzinnigzijn. “Ondubbelzinnig” vraagt om het gebruik van mechanismen voor het verkrijgen van toestemming die er geen twijfel over laten bestaan dat de betrokkene metterdaad zijn toestemming wilde geven. In de praktijk stelt dit vereiste voor de verwerking verantwoordelijken in staat om voor het verkrijgen van toestemming verschillende soorten mechanismen te gebruiken, variërend van akkoordverklaringen (uitdrukkelijke toestemming) tot mechanismen waarbij de voor de verwerking verantwoordelijke de “toestemming” baseert op een
ondubbelzinnigzijn. “Ondubbelzinnig” vraagt om het gebruik van mechanismen voor het verkrijgen van toestemming die er geen twijfel over laten bestaan dat de betrokkene metterdaad zijn toestemming wilde geven. In de praktijk stelt dit vereiste voor de verwerking verantwoordelijken in staat om voor het verkrijgen van toestemming verschillende soorten mechanismen te gebruiken, variërend van akkoordverklaringen (uitdrukkelijke toestemming) tot mechanismen waarbij de voor de verwerking verantwoordelijke de “toestemming” baseert op een
actie van de betrokkene waarmee hij zijn instemming te kennen geeft.
• Een “toestemming” die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene is normaal gesproken niet rechtsgeldig, zeker niet in een onlineomgeving. Dit speelt met name wanneer “toestemming” wordt gegeven via standaardconfiguratie-instellingen die de betrokkene moet wijzigen als hij niet wil dat zijn gegevens worden verwerkt. Dit is bijvoorbeeld het geval bij vooraf aangevinkte vakjes of bij browsers die standaard zo zijn ingesteld dat ze cookies accepteren.
(…)
12.28.
In dit verband zijn ook relevant de hiervoor onder 11.13 vermelde Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 van 11 april 2018 van de Groep Gegevensbescherming artikel 29 over gelaagde privacyverklaringen in de digitale context.
Beoordeling van de afzonderlijke periodes
12.29.
Gedurende de tijd dat de Wbp van toepassing was, is de informatieverstrekking door Facebook Ierland en de manier waarop zij toestemming vroeg voor de verwerking van persoonsgegevens, verschillend geweest. Zo verschilde in de loop der tijd het registratieproces en hanteerde Facebook Ierland achtereenvolgens verschillende Gebruikersvoorwaarden en Gegevensbeleid. In navolging van partijen zal de rechtbank daarom bij de beoordeling onderscheid maken tussen drie tijdvakken (periodes A, B en C).
- PERIODE A (1 april 2010 tot 8 juni 2012)
12.30.
Facebook Ierland heeft onweersproken toegelicht dat de accountregistratie van een nieuwe gebruiker in deze periode uit twee stappen bestond en als volgt verliep. Nadat de nieuwe gebruiker zijn eerste gegevens, zoals naam, e-mailadres en wachtwoord had ingevuld, werd hij doorgestuurd naar een tweede pagina. Op die tweede pagina kon hij op een knop ‘Registreren’ klikken. Daarbij was vermeld, dat door op de knop ‘Registreren’ te klikken de gebruiker bevestigde dat hij akkoord ging met de voorwaarden en dat hij het Gegevensbeleid had gelezen. Deze tekst bevatte een hyperlink naar de Gebruikersvoorwaarden en het Gegevensbeleid.
12.31.
De toen geldende versies van het (in het Engels gestelde) Gegevensbeleid (getiteld:
Privacy Policy) besloegen steeds vier of vijf pagina’s in een relatief klein lettertype. In de versie van het Gegevensbeleid van 22 december 2010 stond onder meer het volgende:
Privacy Policy) besloegen steeds vier of vijf pagina’s in een relatief klein lettertype. In de versie van het Gegevensbeleid van 22 december 2010 stond onder meer het volgende:
5.How We Use Your Information
We use the information we collect to try to provide a safe, efficient, and customized experience. Here are some of the details how we do that:
To manage the service.We use the information we collect to provide our services and features to you, to measure and improve those services and features, and to provide you with customer support. We use the information to prevent potentially illegal activities, and to enforce our Statement of Rights and Responsibilities. We also use a variety of technological systems to detect an address anomalous activity and screen content to prevent abuse such as spam. These efforts may on occasion result in a temporary or permanent suspension or termination of some functions for some users.
To contact you.We may contact you from time to time. You may opt out of all communications except essential updates on your account notifications page. We may include content you see on Facebook in the emails we send to you.
To serve personalized advertising to you.We don’t share your information with advertisers without your consent. (…) We allow advertisers to choose the characteristics of users who will see their advertisements and we may use any of the non-personally identifiable attributes we have collected (including information you may have decided not to show to other users, such as your birth year or other sensitive personal information or preferences) to select the appropriate audience for those advertisements. For example, we might use your interest in soccer to show you ads for soccer equipment, but we do not tell the soccer equipment company who you are. You can see the criteria advertisers may select by visiting our advertising page. Even though we do not share your information with advertisers without your consent, when you click on or otherwise interact with a advertisement there is a possibility that the advertiser may place a cookie in your browser and note that it meets the criteria they selected.
To serve social ads.We occasionally pair advertisements we serve with relevant information we have about you and your friends to make advertisements more interesting and more tailored to you and your friends. For example, if you connect with your favorite band’s page, we may display your name and profile photo next to an advertisement for that page that is displayed to your friends. We only share the personally identifiable information visible in the social ad with the friend who can see the ad. You can opt out of having your information used in social ads on this help page.
To supplement your profile.(…)
To make suggestions.(…)
To help your friends find you.(…)
(…)
12.32.
De andere versies van het Gegevensbeleid die in deze periode van kracht waren, bevatten in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt.
12.33.
De vraag die moet worden beantwoord, is of de leesbevestiging die Facebook Ierland in periode A bij registratie van haar gebruikers heeft verkregen, kan worden aangemerkt als een rechtsgeldige toestemming voor de verwerking van persoonsgegevens voor advertentiedoeleinden. De rechtbank beantwoordt die vraag ontkennend.
12.34.
Niet in geschil is dat informatie over de gegevensverwerking in het Gegevensbeleid stond. Gebruikers hebben bij registratie echter geen toestemming gegeven ten aanzien van de inhoud van het Gegevensbeleid. Zoals uit de door Facebook Ierland geschetste gang van zaken blijkt, verklaarde een gebruiker bij registratie enkel akkoord te gaan met de Gebruikersvoorwaarden. Met betrekking tot het Gegevensbeleid bevestigde een gebruiker bij registratie uitsluitend dat beleid te hebben
gelezen. De bevestiging iets te hebben gelezen, is niet, althans niet zonder meer, aan te merken als een akkoordverklaring met de inhoud daarvan. Uit de wijze waarop Facebook Ierland het registratieproces had ingericht, kon voor de gemiddelde gebruiker in dit geval niet (voldoende) duidelijk zijn dat hem toestemming werd gevraagd voor in het Gegevensbeleid opgenomen verwerkingsdoeleinden. Anders dan ten aanzien van de Gebruikersvoorwaarden werd de gebruiker immers niet uitdrukkelijk om een akkoord gevraagd ten aanzien van het Gegevensbeleid. Van een ondubbelzinnige en op aanvaarding gerichte wilsuiting was dus geen sprake. Bovendien maakte het registratieproces niet duidelijk dat het Gegevensbeleid informatie over de verwerking van persoonsgegevens bevatte. Daardoor kan met de leesbevestiging in het registratieproces ook geen sprake zijn van een wilsuiting die was gericht op aanvaarding van de verwerking van de gebruiker betreffende persoonsgegevens.
gelezen. De bevestiging iets te hebben gelezen, is niet, althans niet zonder meer, aan te merken als een akkoordverklaring met de inhoud daarvan. Uit de wijze waarop Facebook Ierland het registratieproces had ingericht, kon voor de gemiddelde gebruiker in dit geval niet (voldoende) duidelijk zijn dat hem toestemming werd gevraagd voor in het Gegevensbeleid opgenomen verwerkingsdoeleinden. Anders dan ten aanzien van de Gebruikersvoorwaarden werd de gebruiker immers niet uitdrukkelijk om een akkoord gevraagd ten aanzien van het Gegevensbeleid. Van een ondubbelzinnige en op aanvaarding gerichte wilsuiting was dus geen sprake. Bovendien maakte het registratieproces niet duidelijk dat het Gegevensbeleid informatie over de verwerking van persoonsgegevens bevatte. Daardoor kan met de leesbevestiging in het registratieproces ook geen sprake zijn van een wilsuiting die was gericht op aanvaarding van de verwerking van de gebruiker betreffende persoonsgegevens.
Reeds gelet op het voorgaande is de leesbevestiging niet aan te merken als toestemming.
12.35.
Voor zover Facebook Ierland heeft bedoeld te betogen dat de leesbevestiging bij registratie in combinatie met het gebruik van de Facebookdienst als zodanig als een geldige toestemming kwalificeert vanwege de verwachtingen die de gebruiker mocht hebben, verwerpt de rechtbank dat standpunt. Een gebruiker die zich aanmeldt voor de Facebookdienst mag verwachten dat zijn persoonsgegevens door Facebook Ierland worden verwerkt met het oog op het door Facebook Ierland faciliteren van de deelname van de gebruiker aan het sociale netwerk dat het Facebookplatform biedt. Naar het oordeel van de rechtbank hoeft een gemiddelde gebruiker er daarentegen – anders dan Facebook Ierland heeft betoogd – niet bedacht op te zijn dat zijn persoonsgegevens ook voor andere doeleinden worden verwerkt, zoals de door Facebook Ierland gebezigde advertentiedoeleinden. Om die reden kan ook niet worden gezegd dat op de gebruiker op dit punt een onderzoeksplicht rustte. In dit geval ligt in het gebruik van de Facebookdienst dus niet een (ondubbelzinnige) toestemming besloten voor de verwerking van persoonsgegevens voor advertentiedoeleinden.
12.36.
De omstandigheid dat gebruikers (op andere via het Gegevensbeleid te bereiken pagina’s) binnen het Facebookplatform zelf konden instellen hoe Facebook Ierland hun persoonsgegevens mocht verwerken voor advertentiedoeleinden, is niet van belang. Het gaat immers erom dat de gebruiker vooraf moet worden geïnformeerd over die gegevensverwerking en dat daar vooraf toestemming voor moet worden verkregen.
12.37.
Het voorgaande betekent dat Facebook Ierland zich voor de vereiste toestemming voor de verwerking van persoonsgegevens voor advertentiedoeleinden niet kan beroepen op de leesbevestiging van het Gegevensbeleid bij registratie.
12.38.
Verder heeft Facebook Ierland nog verwezen naar latere akkoordverklaringen die bestaande gebruikers volgens Facebook Ierland gaven wanneer wijzigingen in het Gegevensbeleid waren aangebracht. Ook dit kan Facebook Ierland niet baten. In die gevallen kreeg een gebruiker een bericht of notificatie waarin was vermeld dat door gebruik te blijven maken van de diensten van Facebook Ierland de gebruiker akkoord ging met bijgewerkte Gebruikersvoorwaarden, Gegevensbeleid en cookiebeleid. Het voortgezette gebruik na kennisname van een dergelijke mededeling kan niet worden beschouwd als een specifieke, op informatie berustende en ondubbelzinnige wilsuiting voor de verwerking van persoonsgegevens voor advertentiedoeleinden. De voor die verwerking relevante informatie werd immers niet verstrekt in het bericht of de notificatie en de enkele daarin opgenomen verwijzing naar gewijzigde Gebruikersvoorwaarden en/of Gegevensbeleid voldoet niet aan de daaraan te stellen eisen.
12.39.
Niet gesteld of gebleken is dat Facebook Ierland, naast hetgeen hiervoor is besproken, nog op een andere manier toestemming heeft geprobeerd te vragen en te verkrijgen voor het verwerken van persoonsgegevens voor advertentiedoeleinden.
12.40.
De conclusie is daarom dat Facebook Ierland in periode A geen rechtsgeldige toestemming heeft verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.
- PERIODE B (8 juni 2012 tot 30 januari 2015)
12.41.
Facebook Ierland heeft onweersproken toegelicht dat een nieuwe gebruiker die zich in deze periode bij de Facebookdienst wilde registreren, het volgende te zien kreeg:
In de tekst boven de knop ‘Registreren’ stonden hyperlinks naar de Gebruikersvoorwaarden, het Gegevensbeleid en het cookiebeleid.
12.42.
De in deze periode geldende versies van het (in het Nederlandse gestelde) Gegevensbeleid besloegen ongeveer zeven pagina’s in een relatief klein lettertype. In de versie van het Gegevensbeleid van 8 juni 2012 stond onder meer het volgende:
12.43.
De andere versies van het Gegevensbeleid die in deze periode van kracht waren, bevatten in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt.
12.44.
Naar het oordeel van de rechtbank waren in periode B de wijze van registratie, de leesbevestiging door de gebruiker en de inhoud en wijze van informatieverstrekking door Facebook Ierland niet wezenlijk verschillend ten opzichte van periode A. Hetgeen de rechtbank hiervoor in r.o. 12.33-12.39 heeft overwogen over periode A geldt daarom eveneens voor periode B. Dat betekent dat de vereiste toestemming ook voor periode B niet kan worden gebaseerd op de leesbevestiging bij registratie of op latere akkoordverklaring bij wijzigingen van het Gegevensbeleid.
12.45.
Ook in periode B heeft Facebook dus geen rechtsgeldige toestemming verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.
- PERIODE C (30 januari 2015 tot 19 april 2018)
12.46.
Facebook Ierland heeft onweersproken toegelicht dat een nieuwe gebruiker die zich in deze periode bij de Facebookdienst wilde registreren, het volgende te zien kreeg:
In de tekst boven de knop ‘Registreren’ stonden hyperlinks naar de Gebruikersvoorwaarden, het Gegevensbeleid en het cookiebeleid.
12.47.
De in deze periode geldende versie (van 30 januari 2015) van de (in het Nederlands gestelde) Gebruikersvoorwaarden (getiteld:
Verklaring van rechten en verantwoordelijkheden) besloeg vier pagina’s in een relatief klein lettertype en bevatte 18 verschillende bepalingen. Aan het slot van de Gebruikersvoorwaarden stond (vetgedrukt):
Verklaring van rechten en verantwoordelijkheden) besloeg vier pagina’s in een relatief klein lettertype en bevatte 18 verschillende bepalingen. Aan het slot van de Gebruikersvoorwaarden stond (vetgedrukt):
Door Facebook-diensten te gebruiken of te openen, stem je ermee in dat we deze inhoud en informatie kunnen gebruiken en verzamelen in overeenstemming met het
Gegevensbeleid dat periodiek kan worden aangepast.
12.48.
De in deze periode geldende versies van het (in het Nederlands gestelde) Gegevensbeleid besloegen ongeveer twee pagina’s in een relatief klein lettertype. In de versie van 30 januari 2015 van het Gegevensbeleid staat onder meer het volgende:
I. Welke soorten gegevens worden verzameld?
We verzamelen verschillende soorten gegevens van en over jou, afhankelijk van de services die je gebruikt.
•
Dingen die je doet en gegevens die je levert.We verzamelen de inhoud en andere gegevens die je levert wanneer je onze services gebruikt, waaronder wanneer je je aanmeldt voor een account, items maakt of deelt, en wanneer je berichten verstuurt en communiceert met anderen. Dit kan betrekking hebben op gegevens in en over de inhoud die je levert, zoals de locatie van een foto of de datum waarop een bestand is gemaakt. We verzamelen ook gegevens over hoe je onze services gebruikt, zoals de soorten inhoud die je bekijkt en op welke inhoud je reageert of de regelmaat en duur van je activiteiten.
Dingen die je doet en gegevens die je levert.We verzamelen de inhoud en andere gegevens die je levert wanneer je onze services gebruikt, waaronder wanneer je je aanmeldt voor een account, items maakt of deelt, en wanneer je berichten verstuurt en communiceert met anderen. Dit kan betrekking hebben op gegevens in en over de inhoud die je levert, zoals de locatie van een foto of de datum waarop een bestand is gemaakt. We verzamelen ook gegevens over hoe je onze services gebruikt, zoals de soorten inhoud die je bekijkt en op welke inhoud je reageert of de regelmaat en duur van je activiteiten.
•
Dingen die anderen doen en gegevens die ze leveren.We verzamelen ook inhoud en informatie die andere mensen leveren wanneer ze onze services gebruiken, waaronder gegevens over jou, wanneer ze bijvoorbeeld een foto van je delen, je een bericht sturen, of je contactgegevens uploaden, synchroniseren of importeren.
Dingen die anderen doen en gegevens die ze leveren.We verzamelen ook inhoud en informatie die andere mensen leveren wanneer ze onze services gebruiken, waaronder gegevens over jou, wanneer ze bijvoorbeeld een foto van je delen, je een bericht sturen, of je contactgegevens uploaden, synchroniseren of importeren.
•
Je netwerken en connecties.We verzamelen gegevens over de mensen en groepen waarmee je bent verbonden en de manier waarop je deze mensen en groepen behandelt, zoals de mensen met wie je het meest communiceert of de groepen waarmee je veel deelt. We verzamelen ook contactgegevens die je levert wanneer je deze gegevens (zoals een adresboek) uploadt, synchroniseert of importeert vanaf een apparaat.
Je netwerken en connecties.We verzamelen gegevens over de mensen en groepen waarmee je bent verbonden en de manier waarop je deze mensen en groepen behandelt, zoals de mensen met wie je het meest communiceert of de groepen waarmee je veel deelt. We verzamelen ook contactgegevens die je levert wanneer je deze gegevens (zoals een adresboek) uploadt, synchroniseert of importeert vanaf een apparaat.
•
Gegevens van betalingen.Als je onze services gebruikt voor aankopen of financiële transacties (zoals wanneer je iets koopt op Facebook, een aankoop doet in een game, of een bedrag doneert), verzamelen we gegevens over de aankoop of transactie. We verzamelen onder meer je betalingsgegevens, zoals het nummer van je creditcard of betaalkaart en andere kaartgegevens, andere account- en verificatiegegevens, en details met betrekking tot facturering, verzending en contactgegevens.
Gegevens van betalingen.Als je onze services gebruikt voor aankopen of financiële transacties (zoals wanneer je iets koopt op Facebook, een aankoop doet in een game, of een bedrag doneert), verzamelen we gegevens over de aankoop of transactie. We verzamelen onder meer je betalingsgegevens, zoals het nummer van je creditcard of betaalkaart en andere kaartgegevens, andere account- en verificatiegegevens, en details met betrekking tot facturering, verzending en contactgegevens.
•
Apparaatgegevens.We verzamelen gegevens van en over de computers, telefoons en andere apparaten waarop je onze services installeert of opent, afhankelijk van waarvoor je toestemming hebt gegeven. We kunnen de verzamelde gegevens koppelen aan je verschillende apparaten. Dit helpt ons om consistente services aan te bieden op al je apparaten. Hier volgen enkele voorbeelden van de gegevens die we verzamelen:
Apparaatgegevens.We verzamelen gegevens van en over de computers, telefoons en andere apparaten waarop je onze services installeert of opent, afhankelijk van waarvoor je toestemming hebt gegeven. We kunnen de verzamelde gegevens koppelen aan je verschillende apparaten. Dit helpt ons om consistente services aan te bieden op al je apparaten. Hier volgen enkele voorbeelden van de gegevens die we verzamelen:
• Kenmerken zoals het besturingssysteem, de hardwareversie, de apparaatinstellingen, de namen van bestanden en software en de bestands- en softwaretypen, batterij- en
signaalsterkte en apparaat-ID's.
• Apparaatlocaties, waaronder bepaalde geografische locaties, bepaald via GPS-, Bluetooth- of WI-Fi-signalen.
• Verbindingsgegevens zoals de naam van je mobiele provider of internetprovider, browsertype, taal en tijdzone, mobiele telefoonnummer en IP-adres.
•
Gegevens van websites of apps die onze services gebruiken.We verzamelen gegevens wanneer je websites en apps van externe partijen bezoekt die onze services gebruiken
Gegevens van websites of apps die onze services gebruiken.We verzamelen gegevens wanneer je websites en apps van externe partijen bezoekt die onze services gebruiken
(bijvoorbeeld wanneer ze de knop Vind ik leuk of de mogelijkheid tot Facebook-aanmelding aanbieden, of onze services voor metingen en adverteren gebruiken). We verzamelen onder meer gegevens over de websites en apps die je bezoekt, je gebruik van onze services op die websites en apps. en de gegevens die de ontwikkelaar of uitgever van de app of website jou of ons geeft.
•
Gegevens van externe partners.We ontvangen gegevens over jou en je activiteiten van externe partners, bijvoorbeeld wanneer een partner en Facebook samen services aanbieden, of gegevens van een adverteerder over jouw ervaringen en jullie interactie.
Gegevens van externe partners.We ontvangen gegevens over jou en je activiteiten van externe partners, bijvoorbeeld wanneer een partner en Facebook samen services aanbieden, of gegevens van een adverteerder over jouw ervaringen en jullie interactie.
•
Facebook-bedrijven.We ontvangen gegevens over jou van bedrijven die eigendom zijn van of worden bestuurd door Facebook in overeenstemming met de voorwaarden en beleidsregels van de bedrijven in kwestie. Leer meer over deze bedrijven en hun privacybeleid.
Facebook-bedrijven.We ontvangen gegevens over jou van bedrijven die eigendom zijn van of worden bestuurd door Facebook in overeenstemming met de voorwaarden en beleidsregels van de bedrijven in kwestie. Leer meer over deze bedrijven en hun privacybeleid.
II. Hoe gebruiken we deze gegevens?
We zijn enthousiast over het maken van interessante en op maat gemaakte ervaringen voor mensen. We gebruiken de gegevens in ons bezit om onze services te leveren en te ondersteunen. Hieronder lees je hoe dit in zijn werk gaat:
•
Services leveren, verbeteren en ontwikkelen.We kunnen onze services, gepersonaliseerde inhoud en suggesties aanbieden door gegevens te gebruiken om inzicht te krijgen in hoe je onze services gebruikt en omgaat met de mensen of dingen waarmee je bent verbonden en waarin je interesse hebt op en buiten onze services.
Services leveren, verbeteren en ontwikkelen.We kunnen onze services, gepersonaliseerde inhoud en suggesties aanbieden door gegevens te gebruiken om inzicht te krijgen in hoe je onze services gebruikt en omgaat met de mensen of dingen waarmee je bent verbonden en waarin je interesse hebt op en buiten onze services.
We gebruiken deze gegevens ook om je snelkoppelingen en suggesties te kunnen aanbieden. We kunnen je vriend bijvoorbeeld voorstellen om jou in een foto te leggen door de foto's van je vriend te vergelijken met de gegevens die we hebben verzameld op basis van je profielfoto's en de andere foto's waarin je bent getagd. Als deze functie bij jou is ingeschakeld, bepaal jij of we andere gebruikers voorstellen je te leggen in een foto. Dit doe je met de opties bij de instellingen Tijdlijn en taggen.
Wanneer we beschikken over locatiegegevens, gebruiken we deze gegevens om onze services voor jou en anderen aan te passen, bijvoorbeeld door je te helpen bij het inchecken en zoeken naar lokale evenementen, aanbiedingen in je regio weer te geven of je vrienden te laten weten dat je in de buurt bent.
We houden enquêtes en doen onderzoek, testen functies in ontwikkeling, en analyseren onze gegevens om onze producten en services te evalueren en verbeteren, nieuwe producten en functies te ontwikkelen. Daarnaast voeren we controles uit en lossen we problemen op.
•
Communiceren met jou.We gebruiken je gegevens om je marketingberichten te sturen, met je te communiceren over onze services en je op de hoogte te stellen van onze beleidsregels en voorwaarden.We gebruiken je gegevens ook om te reageren wanneer je contact met ons opneemt
Communiceren met jou.We gebruiken je gegevens om je marketingberichten te sturen, met je te communiceren over onze services en je op de hoogte te stellen van onze beleidsregels en voorwaarden.We gebruiken je gegevens ook om te reageren wanneer je contact met ons opneemt
•
Advertenties en services meten en weergeven.We gebruiken de gegevens in ons bezit om onze systemen voor advertenties en metingen te verbeteren, zodat we je relevante advertenties kunnen tonen op en buiten onze services en de effectiviteit en het bereik van advertenties en services kunnen meten. Meer informatie over adverteren via onze services en hoe je kunt controleren hoe persoonlijke gegevens worden gebruikt om de advertenties die je ziet, te personaliseren.
Advertenties en services meten en weergeven.We gebruiken de gegevens in ons bezit om onze systemen voor advertenties en metingen te verbeteren, zodat we je relevante advertenties kunnen tonen op en buiten onze services en de effectiviteit en het bereik van advertenties en services kunnen meten. Meer informatie over adverteren via onze services en hoe je kunt controleren hoe persoonlijke gegevens worden gebruikt om de advertenties die je ziet, te personaliseren.
•
Veiligheid en beveiliging bevorderen.We gebruiken de gegevens in ons bezit om te helpen bij het verifiëren van accounts en activiteiten, en om veiligheid en beveiliging op en buiten onze services te promoten, bijvoorbeeld door verdachte activiteiten of schendingen van onze voorwaarden en beleidsregels te onderzoeken. We werken er hard aan om je account te beschermen met een team van technici, geautomatiseerde systemen en geavanceerde technologie zoals codering en machinetaal. We bieden ook gebruiksvriendelijke beveiligingshulpmiddelen aan als een extra laag van bescherming voor je account. Voor meer informatie over het bevorderen van veiligheid op Facebook ga je naar het Helpcentrum voor beveiliging van Facebook.
Veiligheid en beveiliging bevorderen.We gebruiken de gegevens in ons bezit om te helpen bij het verifiëren van accounts en activiteiten, en om veiligheid en beveiliging op en buiten onze services te promoten, bijvoorbeeld door verdachte activiteiten of schendingen van onze voorwaarden en beleidsregels te onderzoeken. We werken er hard aan om je account te beschermen met een team van technici, geautomatiseerde systemen en geavanceerde technologie zoals codering en machinetaal. We bieden ook gebruiksvriendelijke beveiligingshulpmiddelen aan als een extra laag van bescherming voor je account. Voor meer informatie over het bevorderen van veiligheid op Facebook ga je naar het Helpcentrum voor beveiliging van Facebook.
(…)
III. Hoe worden deze gegevens gedeeld?
(…)
Delen met externe partners en klanten
We werken samen met externe bedrijven die ons helpen onze services aan te bieden en te verbeteren, of die advertenties of gerelateerde producten gebruiken. Deze samenwerkingen
maken het mogelijk om onze bedrijven te besturen en gratis services aan te bieden aan mensen over de hele wereld.
Hieronder volgen de soorten externe partijen waarmee we je gegevens kunnen delen:
•
Services voor advertenties, metingen en analyses (Alleen niet persoonlijk Identificeerbare informatie).We willen dat onze advertenties zo relevant en interessant zijn als de andere informatie op onze services. Met dit in gedachten gebruiken we al onze gegevens over jou om je relevante advertenties te tonen. We delen geen informatie die je persoonlijk identificeerbaar maakt (persoonlijk identificeerbare informatie is informatie zoals een naam of een e-mailadres die of dat kan worden gebruikt om contact met je op te nemen of je identiteit te kennen geeft) met partners voor advertenties, metingen of analyses, tenzij je hiervoor toestemming geeft. We kunnen deze partners informatie geven over het bereik en de effectiviteit van hun advertenties zonder informatie vrij te geven die je persoonlijk identificeert, of we kunnen de informatie van meerdere mensen samenvoegen met het zelfde effect. We kunnen een adverteerder bijvoorbeeld vertellen hoe zijn advertenties presteren, hoe vaak de advertenties zijn weergegeven of hoe vaak een app is geïnstalleerd na het weergeven van een advertentie, of niet persoonlijk identificeerbare demografische gegevens verstrekken (bijvoorbeeld een 25-jarige vrouw in Madrid die geïnteresseerd is in softwareontwikkeling) aan deze partners om hen inzicht te geven in hun doelgroep of klanten, maar we doen dit alleen nadat de adverteerder heeft verklaard zich te houden aan onze advertentierichtlijnen.
Services voor advertenties, metingen en analyses (Alleen niet persoonlijk Identificeerbare informatie).We willen dat onze advertenties zo relevant en interessant zijn als de andere informatie op onze services. Met dit in gedachten gebruiken we al onze gegevens over jou om je relevante advertenties te tonen. We delen geen informatie die je persoonlijk identificeerbaar maakt (persoonlijk identificeerbare informatie is informatie zoals een naam of een e-mailadres die of dat kan worden gebruikt om contact met je op te nemen of je identiteit te kennen geeft) met partners voor advertenties, metingen of analyses, tenzij je hiervoor toestemming geeft. We kunnen deze partners informatie geven over het bereik en de effectiviteit van hun advertenties zonder informatie vrij te geven die je persoonlijk identificeert, of we kunnen de informatie van meerdere mensen samenvoegen met het zelfde effect. We kunnen een adverteerder bijvoorbeeld vertellen hoe zijn advertenties presteren, hoe vaak de advertenties zijn weergegeven of hoe vaak een app is geïnstalleerd na het weergeven van een advertentie, of niet persoonlijk identificeerbare demografische gegevens verstrekken (bijvoorbeeld een 25-jarige vrouw in Madrid die geïnteresseerd is in softwareontwikkeling) aan deze partners om hen inzicht te geven in hun doelgroep of klanten, maar we doen dit alleen nadat de adverteerder heeft verklaard zich te houden aan onze advertentierichtlijnen.
Bekijk je advertentievoorkeuren voor uitleg over waarom je een bepaalde advertentie op Facebook ziet. Je kunt je advertentievoorkeuren aanpassen als je je ervaring van advertenties op Facebook wilt controleren en beheren.
12.49.
De andere versie van het Gegevensbeleid dat in deze periode van kracht was, bevatte in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt en hoe deze wordt gedeeld.
12.50.
Beoordeeld moet worden of Facebook Ierland in periode C bij het registratieproces van een nieuwe gebruiker rechtsgeldig toestemming heeft verkregen voor de verwerking van persoonsgegevens voor advertentiedoeleinden.
12.51.
Vast staat dat de informatie bij de knop “Registreren” in periode C hetzelfde was als in de periodes A en B. De gebruiker werd bij de knop “Registreren” ook in de periode C erop gewezen dat hij akkoord ging met de Gebruikersvoorwaarden. Als het gaat om het Gegevensbeleid bevestigde de gebruiker uitsluitend dat hij dat beleid had gelezen. Facebook Ierland heeft naar voren gebracht dat de gebruiker niettemin heeft ingestemd met het Gegevensbeleid, doordat die instemming in periode C in de Gebruikersvoorwaarden stond. De rechtbank is van oordeel dat deze getrapte vorm van het verkrijgen van instemming in dit geval niet voldoet aan de eisen die worden gesteld aan toestemming in de zin van artikel 7 Privacyrichtlijn. Daartoe is het volgende redengevend.
12.52.
De gebruiker is in het registratiescherm weliswaar gevraagd akkoord te gaan met de Gebruikersvoorwaarden, maar om te zien waarmee hij akkoord ging, moest hij doorklikken en de Gebruikersvoorwaarden raadplegen. Dat is op zichzelf niet een ontoelaatbare wijze van het verkrijgen van toestemming, maar dan moet dat document wel de belangrijkste informatie over gegevensverwerking bevatten. Dat was hier niet het geval. Gesteld noch gebleken is dat de Gebruikersvoorwaarden (adequate) informatie over gegevensverwerking voor advertentiedoeleinden bevatten. Aan het slot van de Gebruikersvoorwaarden stond dat de gebruiker, door Facebookdiensten te gebruiken of te openen, ermee instemt dat Facebook Ierland deze inhoud en informatie kunnen gebruiken en verzamelen in overeenstemming met het Gegevensbeleid. Een dergelijke in Gebruikersvoorwaarden verstopte ‘instemming’, die bovendien op zijn beurt weer verwijst naar een andere informatielaag, is te indirect om te kunnen worden aangemerkt als een ondubbelzinnige wilsuiting. Een gemiddelde gebruiker zal zich er bij het aanklikken van de knop “Registreren”, ook na raadpleging van de Gebruikersvoorwaarden, redelijkerwijs niet bewust van zijn voor welke gegevensverwerkingen hij geacht wordt zijn instemming te hebben gegeven.
12.53.
Deze indirecte en verhulde manier van het trachten te verkrijgen van instemming voldoet ook niet aan de eisen dat de gevraagde toestemming voldoende specifiek en op informatie gebaseerd moet zijn. De algemeen geformuleerde ‘instemming’ aan het slot van de Gebruikersvoorwaarden is eenvoudigweg niet specifiek genoeg. Ook is de informatie over gegevensverwerking niet rechtstreeks verstrekt op de plek waar om toestemming is gevraagd (in het scherm om zich te registreren of in de Gebruikersvoorwaarden), maar op een andere plaats, namelijk in het Gegevensbeleid. Facebook Ierland heeft het op deze manier te moeilijk gemaakt voor de gemiddelde gebruiker om op een adequate manier op de hoogte te worden gebracht van de relevante informatie over de gegevensverwerking. Een gemiddelde gebruiker heeft dus niet kunnen begrijpen wat de volle omvang van de gevolgen van de gegevensverwerking zou zijn.
12.54.
Bij de registratie van een nieuwe gebruiker heeft Facebook Ierland dus geen toestemming verkregen voor de gegevensverwerking voor advertentiedoeleinden. Ook is niet op andere wijze toestemming verkregen. In dit verband geldt hetzelfde als hiervoor in r.o. 12.36, 12.38 en 12.39 is geoordeeld.
12.55.
Ook in periode C heeft Facebook dus geen rechtsgeldige toestemming verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.
Gerechtvaardigd belang als verwerkingsgrondslag?
12.56.
Facebook Ierland stelt zich op het standpunt dat zij onder de Wbp een gerechtvaardigd belang had om persoonsgegevens te verwerken voor advertentiedoeleinden. Zij voert daartoe het volgende aan. Facebook Ierland heeft gebruikers altijd een gratis dienst kunnen aanbieden dankzij advertenties. Het bedrijfsmodel van Facebook Ierland is gebaseerd op de verkoop van gepersonaliseerde advertentieruimte op het Facebookplatform. Een dergelijk ‘advertentiegedreven’ bedrijfsmodel is gemeengoed geworden onder onlinedienstverleners en bij dat model bestaat ook een legitiem economisch belang. Zonder de inkomsten uit gepersonaliseerde advertenties zou Facebook Ierland haar gebruikers geen gratis dienst kunnen aanbieden. Het gerechtvaardigde belang van Facebook Ierland om een gepersonaliseerde ervaring te kunnen bieden, heeft geen afbreuk gedaan aan de belangen of de fundamentele rechten en vrijheden van de gebruikers. Integendeel, zowel Facebook Ierland als de gebruikers hebben er baat bij dat personalisatie de gebruikers een betere ervaring op het Facebookplatform biedt. Als er al rechten of belangen van betrokkenen in het geding zouden zijn geweest, valt niet in te zien waarom die prevaleerden boven het gerechtvaardigde belang van Facebook Ierland. Gebruikers konden namelijk redelijkerwijs verwachten dat de Facebookdienst kosteloos zou worden verstrekt en dat hun persoonsgegevens zouden worden verwerkt voor advertentiedoeleinden en gepersonaliseerde advertenties. Bovendien hadden de gebruikers verschillende mogelijkheden om via de privacy-instellingen controle uit te oefenen over hun gegevensverwerking en advertentievoorkeuren.
12.57.
De Stichting bestrijdt dat Facebook Ierland voor de verwerking van persoonsgegevens voor advertentiedoeleinden gebruik kan maken van de grondslag ‘gerechtvaardigd belang’. Daartoe voert zij het volgende aan. De commercialisering van een zogenaamd gratis aangeboden dienst is geen gerechtvaardigd belang. Daarnaast is de verwerking ook niet noodzakelijk om dat belang te behartigen. Het aanbieden van gepersonaliseerde advertenties is namelijk niet noodzakelijk om de Facebookdienst aan te bieden; de Facebookdienst werkt ook zonder gepersonaliseerde advertenties. Bij het noodzakelijkheidsvereiste is ook van belang dat Facebook Ierland haar gebruikers niet op transparante wijze heeft geïnformeerd. Dat betekent dat hetzelfde doel met minder inbreukmakende middelen had kunnen worden bereikt. Ten slotte is niet voldaan aan de eis dat de belangen of fundamentele rechten van de gebruikers niet onevenredig worden aangetast, omdat Facebook Ierland geen concrete belangenafweging heeft gemaakt. De door Facebook Ierland gemaakte abstracte belangenafweging volstaat niet.
12.58.
Bij de beoordeling van de vraag of de gegevensverwerking voor advertentiedoeleinden noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke slaat de rechtbank niet alleen acht op de rechtspraak van het HvJ EU maar ook op de adviezen van WP29.
12.59.
Volgens vaste rechtspraak [30] van het HvJ moet aan drie cumulatieve voorwaarden worden voldaan om persoonsgegevens op basis van de grondslag van gerechtvaardigd belang te kunnen verwerken:
er moet sprake zijn van de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke (of van de derde aan wie de gegevens worden verstrekt);
de verwerking moet voor dat gerechtvaardigde belang noodzakelijk zijn, en
de belangen of de grondrechten en de fundamentele vrijheden van diegene wiens persoonsgegevens worden verwerkt, prevaleren niet.
12.60.
Uit de rechtspraak van het HvJ blijkt dat een gerechtvaardigd belang (de eerste voorwaarde) op de datum van de verwerking bestaand, actueel en niet van hypothetische aard moet zijn. [31]
12.61.
WP29 heeft een advies uitgebracht over het begrip gerechtvaardigd belang in artikel 7 van de Privacyrichtlijn (waarvan artikel 8 Wbp de implementatie vormde). In dat advies staat onder meer het volgende [32] :
Het begrip "belang" is nauw verwant aan, maar verschilt van, het begrip "doeleinde" dat wordt genoemd in artikel 6 van de richtlijn. In de context van gegevensbescherming is het "doeleinde" de specifieke reden waarom de gegevens worden verwerkt: de doelstelling of de bedoeling van de gegevensverwerking. Het belang is echter een ruimer begrip en ziet op de waarde voor de voor de verwerking verantwoordelijke van de verwerking of het voordeel dat de voor de verwerking verantwoordelijke, of de maatschappij, bij de verwerking kan hebben.
Een belang moet voldoende duidelijk zijn verwoord om de afweging uit te voeren met de belangen en fundamentele rechten van de betrokkene. Bovendien moet de verwerking ook noodzakelijk zijn voor "de behartiging van het desbetreffende belang van de voor de verwerking verantwoordelijke". Hiervoor is een daadwerkelijk en aanwezig belang nodig, iets dat overeenkomt met de huidige activiteiten of voordelen die worden verwacht in de zeer nabije toekomst. Anders gezegd: belangen die te vaag of speculatief zijn, zijn onvoldoende. De aard van het belang kan verschillen. Sommige belangen zijn zwaarwegend en komen de maatschappij als geheel ten goede, zoals het belang van de pers om informatie te publiceren over corruptie in de regering of het belang van de uitvoering van wetenschappelijk onderzoek (afhankelijk van passende waarborgen). Ook kunnen belangen minder dringend voor de maatschappij als geheel zijn of in ieder geval de gevolgen van de nastreving ervan voor de maatschappij meer gemengd of controversieel zijn. Dit kan bijvoorbeeld het geval zijn bij het economische belang van een bedrijf om zo veel mogelijk te weten te komen over potentiële klanten, zodat advertenties over de producten of diensten beter kunnen worden gericht.
(…) De Groep is van mening dat het begrip "gerechtvaardigd belang" een breed scala aan belangen kan omvatten, in meer of mindere mate zwaarwegend, duidelijk of omstreden. Bij de tweede stap, wanneer deze belangen moeten worden afgewogen tegen de belangen en fundamentele rechten van de betrokkene, moet dan een beperktere benadering en substantiëlere analyse worden gevolgd.
(…)
Een belang kan daarom worden beschouwd als gerechtvaardigd zolang de voor de verwerking verantwoordelijke dit belang kan behartigen op een manier die overeenkomt met de gegevensbeschermings- en andere wetgeving. Anders gezegd moet een gerechtvaardigd belang "aanvaardbaar zijn volgens de wetgeving".
Om relevant te zijn in het kader van artikel 7, onder f), moet een "gerechtvaardigd belang" daarom:
- rechtmatig zijn (d.w.z. in overeenstemming met toepasselijk EU- en nationaal recht);
- voldoende duidelijk zijn verwoord om de afweging uit te kunnen voeren met de belangen en fundamentele rechten van de betrokkene (d.w.z. voldoende specifiek);
- een werkelijk en aanwezig belang vertegenwoordigen (d.w.z. niet speculatief zijn).
12.62.
Met betrekking tot de tweede voorwaarde – dat de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke – geldt volgens vaste rechtspraak van het HvJ EU dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke moeten blijven. [33]
12.63.
In het advies van WP29 uit 2014 [34] is over de tweede voorwaarde onder meer het volgende opgenomen:
Deze voorwaarde vormt een aanvulling op het noodzakelijkheidsvereiste overeenkomstig artikel 6 [van de Privacyrichtlijn,
toevoeging rechtbank] en vereist een verband tussen de verwerking en de behartigde belangen. Dit "noodzakelijkheidsvereiste" is van toepassing in alle in artikel 7, onder b) tot en met f) [van de Privacyrichtlijn,
toevoeging rechtbank], genoemde situaties, maar is met name van belang in het geval onder f) om te garanderen dat de gegevensverwerking op basis van gerechtvaardigd belang niet leidt tot een te ruime interpretatie van het criterium inzake de noodzaak om gegevens te verwerken. Net als in andere gevallen houdt dit in dat moet worden gekeken of minder inbreukmakende middelen beschikbaar zijn voor het bereiken van hetzelfde doel.
toevoeging rechtbank] en vereist een verband tussen de verwerking en de behartigde belangen. Dit "noodzakelijkheidsvereiste" is van toepassing in alle in artikel 7, onder b) tot en met f) [van de Privacyrichtlijn,
toevoeging rechtbank], genoemde situaties, maar is met name van belang in het geval onder f) om te garanderen dat de gegevensverwerking op basis van gerechtvaardigd belang niet leidt tot een te ruime interpretatie van het criterium inzake de noodzaak om gegevens te verwerken. Net als in andere gevallen houdt dit in dat moet worden gekeken of minder inbreukmakende middelen beschikbaar zijn voor het bereiken van hetzelfde doel.
12.64.
Bij de vraag of aan het noodzakelijkheidsvereiste is voldaan moet met name worden getoetst aan de eisen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de betrokkene minder nadelige wijze kunnen worden verwerkelijkt.
12.65.
Met betrekking tot de derde voorwaarde – de (nadere) afweging van de betrokken rechten en belangen – geldt volgens vaste rechtspraak van het HvJ dat die afweging en de uitkomst daarvan in beginsel afhangt van de bijzondere omstandigheden van een concreet geval. [35]
12.66.
Het is nuttig om zowel het gerechtvaardigd belang van de voor de verwerking verantwoordelijke als het belang en de rechten van de betrokkenen op een spectrum voor te stellen. Gerechtvaardigd belang kan variëren van onbeduidend tot enigszins van belang tot zwaarwegend. Zo kunnen ook de gevolgen voor het belang en de rechten van de betrokkene meer of minder van belang zijn en variëren van onbeduidend tot zeer ernstig.
(…)
Sleutelfactoren die moeten worden meegewogen bij de belangenafweging
Op basis van het voorgaande, omvatten de bruikbare factoren die bij de belangenafweging moeten worden betrokken:
de aard en de bron van het gerechtvaardigde belang, waaronder:
de aard en de bron van het gerechtvaardigde belang, waaronder:
- de omstandigheid dat de gegevensverwerking al of niet noodzakelijk is voor de uitoefening van een fundamenteel recht, of
- anderszins in het algemeen belang is of in de desbetreffende gemeenschap sociaal, cultureel of in wet- of regelgeving is erkend;
de gevolgen voor de betrokkenen, waaronder:
de gevolgen voor de betrokkenen, waaronder:
- de aard van de gegevens, zoals de omstandigheid dat de verwerking al of niet betrekking heeft op gegevens die als gevoelig kunnen worden beschouwd of die zijn verkregen uit openbaar beschikbare bronnen,
- de manier waarop de gegevens worden verwerkt, waaronder de omstandigheid dat de gegevens al of niet openbaar zijn gemaakt of anderszins toegankelijk zijn gemaakt voor een groot aantal personen of dat grote hoeveelheden persoonsgegevens worden verwerkt in combinatie met andere gegevens (bv. in het geval van profilering, ten behoeve van commerciële, wetshandhavings- of andere doeleinden),
- de redelijke verwachtingen van de betrokkene, met name met betrekking tot het gebruik en de openbaarmaking van de gegevens in de desbetreffende context,
- de status van de voor de verwerking verantwoordelijke en de betrokkene, waaronder het machtsevenwicht tussen de betrokkene en de voor de gegevensverwerking verantwoordelijke en de factor of de betrokkene een kind is of anderszins behoort tot een kwetsbaarder segment van de bevolking;
aanvullende waarborgen om ongepaste gevolgen voor betrokkenen te voorkomen, waaronder:
aanvullende waarborgen om ongepaste gevolgen voor betrokkenen te voorkomen, waaronder:
- gegevensminimalisering (bv. strikte beperking van de verzameling van gegevens, of de onmiddellijke verwijdering van gegevens na het gebruik),
- technische en organisatorische maatregelen om te verzekeren dat de gegevens niet kunnen worden gebruikt om besluiten te nemen of andere acties te ondernemen ten aanzien van personen ("functionele scheiding"),
- uitgebreid gebruik van anonimiseringstechnieken, gegevensaggregatie, privacyverbeterende technologieën, "Privacy by Design", privacy- en gegevensbeschermingseffectbeoordelingen,
- verbeterde transparantie, een algemeen en onvoorwaardelijk recht op opt-out, gegevensoverdraagbaarheid en verwante maatregelen om betrokkenen meer controle te bieden.
Verantwoording, transparantie, het recht op verzet en meer
In verband met deze waarborgen en de algehele belangenafweging, spelen drie kwesties vaak een cruciale rol in de context van artikel 7, onder f), en deze vereisen daarom speciale aandacht:
- het bestaan van sommige, en de mogelijke behoefte aan, aanvullende maatregelen ter verbetering van de transparantie en verantwoording;
- het recht van verzet van de betrokkene tegen de verwerking, en verdergaand dan dat verzet, de beschikbaarheid van een opt-outmogelijkheid zonder de noodzaak van een nadere rechtvaardiging;
- het betrokkenen meer controle geven: gegevensoverdraagbaarheid en de beschikbaarheid van bruikbare mechanismen voor de betrokkene om toegang te krijgen tot zijn eigen gegevens en deze te wijzigen, verwijderen, over te dragen of anderszins verder te verwerken (of derden deze verder te laten verwerken).
12.67.
In het kader van de eerste voorwaarde moet worden beoordeeld of Facebook Ierland een gerechtvaardigd belang heeft bij het verwerken van persoonsgegevens voor advertentiedoeleinden. Het belang dat Facebook Ierland stelt na te streven met die verwerking houdt verband met het door haar gehanteerde bedrijfsmodel, dat gebaseerd is op de verkoop van gepersonaliseerde advertentieruimte, en bestaat er mede uit dat aan de gebruikers een gepersonaliseerde ervaring kan worden geboden. Zonder de inkomsten uit gepersonaliseerde reclame, zo stelt Facebook Ierland, zou zij haar gebruikers geen gratis dienst kunnen aanbieden. Hieruit blijkt dat commerciële belangen voor Facebook Ierland een belangrijke rol spelen bij de verwerking van persoonsgegevens voor advertentiedoeleinden.
12.68.
Over de vraag of commerciële belangen een gerechtvaardigd belang kunnen vormen, heeft het HvJ EU zich nog niet uitgelaten. Over die vraag heeft de bestuursrechter van deze rechtbank recent prejudiciële vragen gesteld aan het HvJ EU. [37] Voor de beoordeling van het geschil tussen de Stichting en Facebook Ierland is het echter niet nodig om de beantwoording van die vragen door het HvJ EU af te wachten. Verwezen wordt naar het hierna te geven oordeel in r.o. 12.69-12.71.
Anders dan de Stichting heeft betoogd, ziet de rechtbank overigens vooralsnog geen reden om aan te nemen dat commerciële belangen niet als een gerechtvaardigd belang in de zin van artikel 7 onder f van de Privacyrichtlijn en artikel 8 aanhef en onder f Wbp zouden kunnen worden aangemerkt. Uit de rechtspraak van het HvJ EU blijkt dat niet en uit het advies van WP29 evenmin. Integendeel, in het WP29-advies worden ook economische belangen van ondernemingen als voorbeeld genoemd. Aan de door het HvJ en de in het WP29-advies genoemde eisen, dat het gestelde gerechtvaardigde belang bestaand, actueel (aanwezig), niet van hypothetische aard (werkelijk) en rechtmatig moet zijn, voldoet het door Facebook Ierland gestelde gerechtvaardigde belang in elk geval. De rechtbank gaat er daarom veronderstellenderwijs vanuit dat Facebook Ierland een gerechtvaardigd belang had bij de verwerking van persoonsgegevens voor advertentiedoeleinden en dat daarmee aan de eerste voorwaarde is voldaan.
12.69.
Als tweede voorwaarde geldt dat voldaan moet zijn aan het noodzakelijkheidsvereiste. Dit vergt een toetsing aan de eisen van proportionaliteit en subsidiariteit. Om die toetsing mogelijk te maken, moet Facebook Ierland – op wie de bewijslast van een rechtmatige gegevensverwerking rust – inzicht geven in de door haar gemaakte afweging en voldoende relevante feitelijke gegevens verschaffen. Dat heeft zij onvoldoende gedaan. Facebook Ierland is in haar stellingname niet kenbaar ingegaan op de eisen van proportionaliteit en subsidiariteit. Zij heeft slechts gesteld dat haar belangen en die van haar gebruikers parallel lopen, omdat ook gebruikers baat hebben bij personalisatie. Daarmee miskent Facebook Ierland dat gebruikers recht hebben op en belang hebben bij bescherming van hun persoonlijke levenssfeer en hun persoonsgegevens, en dat de verwerking van persoonsgegevens voor advertentiedoeleinden daar afbreuk aan kan doen. Verder moet de (verwerkings)verantwoordelijke rekening houden met de redelijke verwachtingen van betrokkenen. Niet gebleken is dat Facebook Ierland dat daadwerkelijk heeft gedaan. Zij heeft slechts gesteld dat gebruikers van de Facebookdienst redelijkerwijs verwachtten dat hun persoonsgegevens zouden worden verwerkt, omdat zij daarover duidelijk waren geïnformeerd. De rechtbank volgt Facebook Ierland hierin niet. Voor de vraag of in dit verband voldoende duidelijk is geïnformeerd, moet er rekening mee worden gehouden dat gebruikers van een dienst die als gratis wordt gepresenteerd zich vaak niet volledig bewust zijn van de mate waarin hun persoonsgegevens worden verwerkt en hun activiteiten worden bijgehouden. De (verwerkings)verantwoordelijke dient daarom transparant te zijn over die verwerking en over zijn bedrijfsmodel. Dat betekent dat aan gebruikers ook duidelijk moet worden gemaakt dat tegenover het als gratis aanbieden van de dienst staat dat de persoonsgegevens van gebruikers voor advertentiedoeleinden worden verwerkt. Facebook Ierland is daarover in haar voorwaarden en gegevensbeleid onvoldoende transparant geweest. Ook als het gaat om de mogelijkheden die Facebook Ierland zegt te hebben geboden aan gebruikers om controle uit te oefenen over de verwerking van hun persoonsgegevens en advertentievoorkeuren middels de diverse privacy-instellingen, heeft te gelden dat die instellingen verspreid waren over allerlei verschillende onderdelen en webpagina’s van het Facebookplatform en daarmee weinig overzichtelijk waren. Daarnaast geldt nog dat het vragen van toestemming voor gegevensverwerking als minder inbreukmakend heeft te gelden. De door Facebook Ierland gevraagde toestemming voldeed niet aan de daaraan te stellen eisen. Door niet op een geldige manier toestemming te vragen waar dat wel had gekund, is dus evenmin voldaan aan de eisen van proportionaliteit en subsidiariteit.
12.70.
Aan het voorgaande kan ten slotte nog worden toegevoegd dat Facebook Ierland het standpunt van de Stichting niet heeft weersproken, dat Facebook Ierland ook kan volstaan met de verkoop van advertenties die niet of minder gepersonaliseerd zijn. Daarmee kunnen eveneens reclame-inkomsten worden gegenereerd. Gesteld noch gebleken is dat in zo’n geval het gratis aanbieden van de Facebookdienst niet mogelijk zou zijn. Dat betekent dat ervan uit moeten worden gegaan dat het doel waarvoor de persoonsgegevens werden verwerkt ook in dit opzicht op een andere, voor de betrokkene minder nadelige wijze, kon worden verwerkelijkt.
12.71.
Hetgeen hiervoor is geoordeeld, betekent dat Facebook Ierland niet heeft aangetoond dat haar gegevensverwerking voor advertentiedoeleinden voldoet aan de eisen van proportionaliteit en subsidiariteit. Nu niet voldaan is aan de tweede voorwaarde van artikel 8 aanhef en onder f Wbp behoeft de derde voorwaarde geen bespreking meer.
12.72.
De conclusie is dat niet is komen vast te staan dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was voor een gerechtvaardigd belang van Facebook Ierland. Voor een dergelijke verwerking kan gedurende de Wbp-periode dus ook het bepaalde in artikel 8 aanhef en onder f Wbp niet dienen als verwerkingsgrondslag.
Conclusie over de verwerkingsgrondslagen
12.73.
De slotsom is dat Facebook Ierland zich op geen van de door haar aangevoerde verwerkingsgrondslagen kan beroepen voor de verwerking van persoonsgegevens voor advertentiedoeleinden. Gesteld noch gebleken is dat voor die verwerking een andere verwerkingsgrondslag in aanmerking komt. Dat betekent dat de verwerking van persoonsgegevens van de Achterban voor advertentiedoeleinden in de gehele periode van 1 april 2010 tot 1 januari 2020 niet geoorloofd was. Door die persoonsgegevens wel te verwerken voor advertentiedoeleinden, zonder dat daarvoor een wettelijke grondslag was, heeft Facebook Ierland inbreuk gemaakt op het door onder meer artikel 8 EVRM beschermde grondrecht van bescherming van persoonsgegevens van de Achterban. Daarmee heeft Facebook Ierland (toerekenbaar) onrechtmatig gehandeld tegenover de leden van de Achterban. De door de Stichting als a.ii.1 gevorderde verklaring voor recht is daarmee toewijsbaar voor de gehele periode van 1 april 2010 tot 1 januari 2020.
13.Bijzondere persoonsgegevens
13.1.
Krachtens artikel 16 Wbp en artikel 9 AVG is het verwerken van bijzondere persoonsgegevens verboden, behoudens in de wet genoemde uitzonderingen. Als bijzondere persoonsgegevens worden onder meer aangemerkt gegevens betreffende iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Na inwerkingtreding van de AVG vallen ook genetische en biometrische gegevens onder het verbod.
13.2.
Een van de belangrijkste uitzonderingsgronden op grond waarvan het wel is toegestaan bijzondere persoonsgegevens te verwerken, is het verkrijgen van uitdrukkelijke toestemming. De bewijslast dat uitdrukkelijk toestemming is gegeven rust zowel onder de Wbp, als de AVG op de partij die de bijzondere persoonsgegevens verwerkt.
13.3.
De Stichting stelt dat Facebook Ierland het verwerkingsverbod voor bijzondere persoonsgegevens heeft geschonden door in de relevante periode zonder toestemming dergelijke gegevens van de Achterban te gebruiken voor advertentiedoeleinden.
13.4.
Facebook Ierland betwist de gestelde schending. Facebook Ierland voert aan dat zij geen bijzondere persoonsgegevens voor advertentiedoeleinden gebruikt. Facebook Ierland kijkt alleen naar
likesen op welke advertenties een gebruiker klikt. De advertentie-interessecategorieën van Facebook Ierland die met die informatie worden samengesteld, zijn geen bijzondere persoonsgegevens en Facebook Ierland had ook niet het oogmerk om deze hieruit af te leiden. Deze interessecategorieën geven alleen interesses weer, betreffen geen persoonlijke kenmerken en onthullen deze evenmin. Verder gebruikt Facebook Ierland een ondubbelzinnige “gebruikerstoestemmingsmodule” die van gebruikers uitdrukkelijk toestemming vereist voordat Facebook Ierland bijzondere persoonsgegevens van die gebruikers verwerkt. De documenten waarnaar de Stichting ter ondersteuning van haar stellingen verwijst, zien op de periode vóór invoering van de AVG en volstaan niet als onderbouwing.
likesen op welke advertenties een gebruiker klikt. De advertentie-interessecategorieën van Facebook Ierland die met die informatie worden samengesteld, zijn geen bijzondere persoonsgegevens en Facebook Ierland had ook niet het oogmerk om deze hieruit af te leiden. Deze interessecategorieën geven alleen interesses weer, betreffen geen persoonlijke kenmerken en onthullen deze evenmin. Verder gebruikt Facebook Ierland een ondubbelzinnige “gebruikerstoestemmingsmodule” die van gebruikers uitdrukkelijk toestemming vereist voordat Facebook Ierland bijzondere persoonsgegevens van die gebruikers verwerkt. De documenten waarnaar de Stichting ter ondersteuning van haar stellingen verwijst, zien op de periode vóór invoering van de AVG en volstaan niet als onderbouwing.
Verwerkt Facebook bijzondere persoonsgegevens?
13.5.
Het meest verstrekkende standpunt van Facebook Ierland is dat zij überhaupt geen bijzondere persoonsgegevens verwerkt voor advertentiedoeleinden. Partijen maken in het debat hierover onderscheid tussen (i) gegevens die Facebook Ierland verkrijgt doordat gebruikers bij het aanmelden voor de Facebookdienst (onverplicht) bijzondere gegevens kunnen invullen in de profielvelden en (ii) gegevens die Facebook Ierland verkrijgt doordat zij het surfgedrag van gebruikers volgt en daaruit bepaalde interesses afleidt.
(i) profielvelden
13.6.
De Stichting stelt dat Facebook Ierland de uit de profielvelden verkregen bijzondere gegevens gebruikt voor advertentiedoeleinden en baseert zich daarbij met name op het AP-rapport. Facebook Ierland betwist de stelling van de Stichting en voert aan dat zij ingevulde gegevens in de profielvelden van een gebruiker niet verwerkt voor het aanbieden van gepersonaliseerde advertenties.
13.7.
De rechtbank volgt het standpunt van Facebook Ierland niet. Uit het AP-rapport blijkt dat de AP eigen onderzoek heeft verricht waarbij zij gebruik heeft gemaakt van een fictieve gebruiker van de Facebookdienst en een fictieve website. Op grond van dat onderzoek concludeert de AP dat het Facebookconcern (waar Facebook Ierland toe behoort) bijzondere gegevens van seksuele geaardheid verwerkt voor advertentiedoeleinden. Volgens de AP stelt het Facebookconcern adverteerders in staat om gerichte advertenties te tonen aan mensen in Nederland op grond van hun seksuele geaardheid zoals zij die zelf hebben aangegeven in hun profiel. De AP heeft naar aanleiding van het argument dat Facebook Ierland geen gegevens uit de inhoud van de profielen gebruikt, nader onderzoek verricht. De AP heeft aan de hand van tien aangemaakte accounts (waarmee vervolgens geen activiteiten werden verricht) vastgesteld dat er wel informatie uit de profielvelden werd gebruikt, omdat een deel van deze accounts advertenties ontvingen gerelateerd aan hun profiel. Facebook Ierland heeft de bevindingen en uitkomsten van het onderzoek van de AP onvoldoende concreet betwist. Zij is niet met een logische verklaring voor deze bevindingen gekomen. Zij volstaat met het argument dat de rechtbank niet gebonden is aan de inhoud van het rapport en dat, nu er geen sancties zijn opgelegd naar aanleiding van het rapport, Facebook Ierland niet in de gelegenheid is geweest de inhoud van het rapport aan te vechten. Gezien de uitkomsten van het onderzoek in het AP-rapport, kan Facebook Ierland echter niet volstaan met een blote betwisting. Daargelaten dat uit het rapport blijkt dat Facebook c.s. gelegenheid is gegeven tot een reactie en dat dit niet tot een andere conclusie heeft geleid, heeft Facebook Ierland in de onderhavige procedure de concrete uitkomsten van het AP onderzoek zelf, niet concreet en onderbouwd betwist.
13.8.
De rechtbank komt daarom tot het oordeel dat Facebook Ierland bijzondere persoonsgegevens heeft verwerkt voor advertentiedoeleinden die gebruikers hebben ingevuld in de profielvelden. Over de periode na de datum van het AP-rapport (21 februari 2017) heeft de Stichting geen concrete onderbouwing van haar stelling gegeven, zodat de rechtbank, gezien de betwisting door Facebook Ierland, niet kan vaststellen of zij ook in die periode bijzondere persoonsgegevens uit profielvelden verwerkte voor advertentiedoeleinden.
(ii) interesses op basis van surfgedrag
13.9.
De Stichting stelt dat de interesses die Facebook Ierland afleidt uit de persoonsgegevens die zij verkrijgt door het volgen van het surfgedrag van leden van de Achterban, ook vallen onder bijzondere gegevens in de zin van artikel 16 Wbp en artikel 9 van de AVG. De Stichting wijst erop dat Facebook Ierland volgens het onderzoek van de AP in elk geval in de periode 8 juni 2012 tot 30 januari 2015 en in de periode 30 januari 2015 tot 19 april 2018 aan adverteerders de mogelijkheid bood om te selecteren op interesses die in hoofdcategorieën en subcategorieën waren onderverdeeld. Uit het rapport van de AP volgt dat adverteerders konden selecteren op bijvoorbeeld “gezondheid”, “islam” of “zwangerschap” of op seksuele voorkeuren.
13.10.
Facebook Ierland betwist dit en voert aan dat uit de verkregen gegevens alleen mogelijke interesse van een gebruiker voor een bepaald thema blijkt. De interesses houden hooguit indirect verband met bijzondere persoonsgegevens en zijn geen verwerking daarvan in de zin van de wet. Ter illustratie; als een Facebookgebruiker een pagina over “zwangerschap”
liket(op de vind-ik-leuk-knop klikt), betekent dit natuurlijk niet dat hij of zij zwanger is, het kan bijvoorbeeld ook gaan om een verloskundige. Er is geen rechtstreeks verband tussen de interesse in zwangerschap en bijzondere persoonsgegevens met betrekking tot iemands gezondheid.
liket(op de vind-ik-leuk-knop klikt), betekent dit natuurlijk niet dat hij of zij zwanger is, het kan bijvoorbeeld ook gaan om een verloskundige. Er is geen rechtstreeks verband tussen de interesse in zwangerschap en bijzondere persoonsgegevens met betrekking tot iemands gezondheid.
13.11.
De rechtbank volgt Facebook Ierland hierin niet. Anders dan Facebook Ierland betoogt, geldt bij de verwerking van bijzondere persoonsgegevens een zodanig hoog beschermingsniveau, dat een rechtstreeks verband tussen de interesse en de bijzondere persoonsgegevens van de gebruiker niet is vereist. Dat geldt zowel onder de Wbp als de AVG. Van belang is of bij de verwerking van gegevens bijzondere persoonsgegevens kunnen blijken. Dat niet bij alle verwerkingen die het gevolg zijn van het volgen van het surfgedrag van gebruikers bijzondere persoonsgegevens blijken - zoals in het hiervoor weergegeven, door Facebook Ierland aangehaalde voorbeeld - is juist, maar aangenomen kan worden dat het volgen van het surfgedrag en het indelen van gebruikers in interessecategorieën als bijvoorbeeld “interested in men” of “interested in women” wel kan leiden tot verwerking van bijzondere persoonsgegevens. Als die verwerking plaatsvindt ten behoeve van advertentiedoeleinden zonder dat daar toestemming voor is verkregen van de gebruiker, is dat zonder rechtsgrond en dus onrechtmatig. Anders dan Facebook Ierland betoogt, geldt bij de verwerking van bijzondere persoonsgegevens bovendien een zodanig hoog beschermingsniveau, dat de juistheid van de verzamelde gegevens of het oogmerk van de verzameling niet relevant is. De rechtbank ziet steun voor dit oordeel in het arrest van het HvJ EU van 1 augustus 2022 (OT/Vtec) [38] waarin onder punt 127 is bepaald:
Derhalve kunnen bovengenoemde bepalingen niet aldus worden uitgelegd dat de verwerking van persoonsgegevens die indirect gevoelige informatie over een natuurlijke persoon kunnen onthullen, niet onder de in die bepalingen neergelegde regeling inzake verhoogde bescherming valt, omdat anders afbreuk wordt gedaan aan het nuttig effect van deze regeling alsook aan de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen die zij beoogt te waarborgen.
13.12.
Het voorgaande volgt ook uit de EDPB Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media van 13 april 2021 waarin wordt geconcludeerd dat indien een aanbieder van sociale media gebruik maakt van gegevens van gebruikers en die indeelt in categorieën van persoonsgegevens als godsdienst, levensbeschouwing of politieke overtuiging, deze indeling “uiteraard” wordt beschouwd als een verwerking van bijzondere gegevens, zelfs indien die indeling onjuist is. Het is juist dat de EDPB geen bindende regels vaststelt, maar dat betekent niet dat de adviezen van dit onafhankelijke Europese orgaan betekenisloos zijn.
13.13.
Gezien het hoge niveau van bescherming van bijzondere persoonsgegevens dat de Privacyrichtlijn beoogde te bieden, bestaat er geen aanleiding om te denken dat dit onder de Wbp wezenlijk anders was.
13.14.
Facebook Ierland heeft niet (voldoende) betwist dat zij, zoals in het AP-rapport is vastgesteld, gedurende de gehele relevante periode hoofdcategorieën en subcategorieën aanbood van interessegebieden op het gebied van bijvoorbeeld gezondheid, religie en politieke of seksuele voorkeur aan adverteerders, waaruit volgt dat Facebook Ierland in ieder geval persoonsgegevens uit deze categorieën heeft aangewend voor advertentiedoeleinden. Daarmee staat voldoende vast dat Facebook Ierland ook door het volgen van het surfgedrag van gebruikers en het indelen van de aldus verkregen informatie in interesse categorieën, in de relevante periode, bijzondere persoonsgegevens van de Achterban verwerkte voor advertentiedoeleinden.
Heeft Facebook Ierland toestemming gekregen voor de verwerking van bijzondere persoonsgegevens?
13.15.
De volgende vraag die moet worden beantwoord, is of Facebook Ierland uitdrukkelijke toestemming heeft verkregen voor de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden en daarmee valt onder de wettelijke uitzondering.
13.16.
Over de periode tot de invoering van de AVG is niet gesteld of gebleken dat uitdrukkelijke toestemming is gevraagd of verkregen voor het verwerken van bijzondere persoonsgegevens voor advertentiedoeleinden. Dit geldt voor zowel informatie afkomstig uit profielvelden, als informatie afgeleid uit het surfgedrag van gebruikers en gebruik voor het vaststellen van interessecategorieën.
13.17.
Voor wat betreft de periode na invoering van de AVG heeft Facebook Ierland niet gesteld dat zij toestemming heeft gevraagd voor het afleiden van interessecategorieën uit surfgedrag van gebruikers ten behoeve van advertentiedoeleinden, zodat de rechtbank concludeert dat van uitdrukkelijke toestemming in de zin van artikel 9 lid 2 onder a van de AVG geen sprake is.
Facebook Ierland beroept zich bij gebruik van persoonsgegevens uit profielvelden, in de periode na invoering van de AVG subsidiair (zo begrijpt de rechtbank) op de door haar gehanteerde “gebruikerstoestemming module” of “de AVG module” die de gebruiker moet doorlopen alvorens zij toegang krijgt tot de Facebookdienst. Het antwoord op de vraag of in die module uitdrukkelijk toestemming wordt gevraagd voor het verwerken van bijzondere persoonsgegevens, kan in het midden blijven nu de rechtbank over de periode na 21 februari 2017 niet kan vaststellen of Facebook Ierland ook in die periode bijzondere persoonsgegevens uit profielvelden verwerkte voor advertentiedoeleinden (zie hiervoor onder 13.8).
13.18.
Daarmee staat een inbreuk op artikel 16 Wbp en artikel 9 van de AVG vast.
Verklaring voor recht
13.19.
Facebook Ierland voert aan dat de door de Stichting gevorderde verklaring voor recht niet toewijsbaar is omdat de door de Stichting gestelde inbreuk zich niet bij iedereen heeft voorgedaan. Facebook Ierland wijst daarbij ook op het vonnis in incident.
13.20.
Dit betoog slaagt niet. In rechtsoverweging 7.13 van het vonnis in incident is hierover opgenomen:
“7.14 Voor zover de Stichting een oordeel vraagt over een of meer specifieke gebeurtenissen geldt dat de daarop betrekking hebbende vorderingen eveneens bundelbaar zijn. Ook daarbij is allereerst de vraag aan de orde of de betreffende gebeurtenis zich heeft voorgedaan en of de handelwijze van Facebook c.s. c.s. (on)rechtmatig is. In deze collectieve procedure hoeft nog niet te kunnen worden vastgesteld welke individuele belanghebbenden daardoor mogelijk zijn geraakt. Voldoende is dat op basis van het oordeel van de rechtbank een lid van de achterban kan vaststellen of hij is getroffen door een eventuele privacyschending. Op basis van de door de Stichting geformuleerde vorderingen zal dat moeten kunnen worden vastgesteld, nu in de beoordeling door de rechtbank zo nodig kan worden gedifferentieerd naar bijvoorbeeld wettelijk voorschrift, tijdsperiode en/of gebeurtenis.”.
13.21.
In het vonnis in incident heeft de rechtbank geoordeeld dat voldaan is aan het gelijksoortigheidsvereiste uit artikel 3:305a BW (oud). Naar het oordeel van de rechtbank staat de omstandigheid dat niet elke Facebookgebruiker behoort tot de Achterban omdat hij geen profielvelden heeft ingevuld niet aan toewijzing van de verklaring voor recht in de weg (zie ook hierna onder 19.6). Het argument wordt verworpen.
14.Cookie-tracking; informatie en toestemming voor het gebruik van cookies?
Wat zijn cookies?
14.1.
Het gebruik van cookies is een technologie waarbij een partij een stukje software plaatst op apparaten van gebruikers van apps of websites, zoals een laptop of telefoon. Door middel van cookies wordt informatie opgeslagen op, en verkregen van die apparaten. Cookies kunnen voor verschillende doeleinden worden gebruikt, bijvoorbeeld het opslaan van een wachtwoord waardoor een bezoeker gemakkelijker toegang tot een bepaalde website krijgt of het onthouden van standaard instellingen. Dit soort cookies worden ook wel functionele cookies genoemd.
14.2.
Er zijn ook cookies die het surfgedrag van de gebruiker volgen. Dat worden tracking-cookies genoemd. Een websitebeheerder die tracking cookies plaatst op het apparaat van de gebruiker kan de gebruiker volgen als die de website van de beheerder bezoekt. Er zijn ook tracking cookies met behulp waarvan de websitebeheerder de gebruiker ook op websites van derden kan volgen, ook wel genoemd “third-party” cookies. Dergelijke tracking cookies maken het mogelijk om op basis van het surfgedrag van de gebruiker een profiel samen te stellen waarmee specifiek op die gebruiker gerichte advertenties kunnen worden aangeboden.
Toetsingskader
14.3.
Partijen die third-party cookies gebruiken moeten daarbij voldoen aan artikel 11.7a lid 1 van de Telecommunicatiewet (Tw). Deze bepaling is de implementatie van artikel 5 lid 3 van de E-Privacyrichtlijn (2002/58/EG). De E-Privacyrichtlijn beoogt de gebruiker te beschermen tegen inmenging in zijn privéleven, ongeacht of die inmenging betrekking heeft op persoonsgegevens. Dit betekent dat de door de richtlijn gegeven bescherming van toepassing is op alle informatie die is opgeslagen op eindapparatuur ongeacht of het gaat om persoonsgegevens. De richtlijn beoogt met name de gebruiker te beschermen tegen het risico dat verborgen identificatoren en andere soortgelijke programmatuur zonder zijn medeweten binnenkomt op zijn apparaat, ook genoemd “randapparatuur” [39] .
14.4.
Artikel 11.7a lid 1 Tw bepaalt dat het opslaan of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker alleen is toegestaan indien 1) een gebruiker duidelijk en volledig is geïnformeerd (in ieder geval over de doeleinden waarvoor de door cookies verkregen informatie wordt gebruikt) en 2) de gebruiker daarvoor toestemming heeft verleend. Informatie en toestemming dient overeenkomstig de Wbp, en (na invoering) de AVG, plaats te vinden.
14.5.
Artikel 11.7a Tw is sinds 5 juni 2012 van kracht (en in 2013, 2015 en 2018 gewijzigd). Daarvóór gold artikel 4.1 van het Besluit universele dienstverlening en eindgebruikersbelangen (Bude) (dat artikel is ingetrokken per 5 juni 2012). Daarin was opgenomen dat de gebruiker vooraf geïnformeerd moest worden over de doeleinden van cookies en dat gelegenheid moest worden geboden om het plaatsen van cookies te weigeren.
Vordering Stichting
14.6.
De Stichting vordert, samengevat, een verklaring voor recht dat Facebook Ierland niet, althans onvoldoende heeft voldaan aan de informatieplicht en het toestemmingsvereiste door het niet, dan wel niet duidelijk of in voldoende mate en/of niet tijdig informeren van de Achterban over het met behulp van cookies en/of vergelijkbare technologie volgen van surfgedrag en appgebruik buiten de Facebookdienst en het gebruik van de aldus verkregen gegevens voor advertentiedoeleinden.
Betwisting Facebook
14.7.
Facebook Ierland voert aan dat de vordering van de Stichting ziet op tracking cookies waarmee Facebook Ierland informatie verkrijgt via websites van derden. Het is niet Facebook Ierland, maar de exploitant/beheerder van de betreffende website die de door Facebook Ierland geleverde software installeert. Daarmee rusten op die exploitant de verplichtingen als bedoeld in artikel 11.7a lid 1 Tw en niet op Facebook Ierland, zodat de vordering reeds daarom strandt. Facebook Ierland beroept zich daarbij op het al eerder in dit vonnis vermelde arrest van het HvJ EU van 29 juli 2019 (Fashion ID [40] . Dat Facebook Ierland niet gehouden is te voldoen aan artikel 11.7a lid 1 Tw als zij persoonsgegevens via cookies op websites van derden ontvangt, volgt - voor wat betreft de periode van vóór de invoering van de AVG - ook uit de memorie van toelichting bij de Tw [41] en mededelingen van de Autoriteit Consument en Markt (ACM). Bovendien verplicht Facebook Ierland de website-exploitant akkoord te gaan met de voorwaarden van de Facebook Business Tools (hierna: BTT) en haar Platformbeleid waarin is voorgeschreven dat de website-exploitant de nodige informatie verstrekt en toestemming verkrijgt van de gebruiker.
14.8.
Facebook Ierland heeft de gebruikers verder te allen tijde duidelijke en passende informatie verstrekt over het gebruik van cookies en de gegevens die daarmee werden verkregen.
14.9.
Verder is de Tw in de relevante periode vier keer herzien en is artikel 11.7a lid 1 Tw pas op 5 juni 2012 in werking getreden. Van een schending vóór die periode kan überhaupt geen sprake zijn. De door de Stichting aangehaalde niet bindende rapporten van de AP en de KU Leuven kunnen niet tot bewijs dienen. Het AP-rapport is bovendien afgerond op 21 februari 2017. Voor de periode na die datum is het rapport irrelevant. Bovendien is de vordering van de Stichting niet onderbouwd nu zij niets stelt over de periode na inwerkingtreding van de AVG.
De beoordeling door de rechtbank
14.10.
Bij de beoordeling neemt de rechtbank als uitgangspunt dat de vordering van de Stichting ziet op cookies voor zover die worden geplaatst via websites van derden, de “third-party cookies”. Tijdens de mondelinge behandeling heeft de Stichting verklaard dat de vordering ook ziet op cookies die op de website van Facebook Ierland worden geplaatst waarmee de Achterban buiten de Facebookdienst wordt gevolgd. Voor zover de rechtbank moet begrijpen dat het hier om andere dan de hiervoor bedoelde third-party cookies zou gaan, gaat de rechtbank hieraan voorbij nu de feitelijke gang van zaken bij deze variant van cookies onvoldoende is toegelicht. Op dit punt heeft de Stichting dus niet aan haar stelplicht voldaan.
Toepasselijk recht/relevante periode
14.11.
Zoals hiervoor onder 14.5 is toegelicht moest bij het gebruik van cookies vóór inwerkingtreding van artikel 11.7a lid 1 Tw worden voldaan aan artikel 4.1 Bude. Nu de vordering van de Stichting ziet op schending van artikel 11.7a lid 1 Tw, althans overeenkomstige bepalingen, gaat de rechtbank voorbij aan het argument van Facebook c.s. Ierland dat er voor inwerkingtreding van artikel 11.7a lid 1 Tw geen sprake kan zijn van een schending. Vóór invoering van de Tw was immers artikel 4.1 Bude van toepassing, waarin een vergelijkbare verplichting is opgenomen.
14.12.
Verder is niet gebleken dat herziening van de Tw tot een andere beoordeling van de daarin genoemde relevante verplichtingen leidt, zodat de rechtbank ook aan dit argument voorbijgaat. Voor zover Facebook Ierland betoogt dat de vorderingen van de Stichting niet zien op de periode na invoering van de AVG, is dat betoog onjuist. De rechtbank is daarnaast van oordeel dat Facebook Ierland onvoldoende concreet heeft betwist dat zij na invoering van de AVG gebruik maakte van third-party cookies. Daartoe is relevant dat ook in haar eigen beleid in die periode wordt verwezen naar het gebruik van third-party cookies.
Is 11.7a lid 1 Tw van toepassing op informatie verkregen door middel van cookies via websites van derden?
14.13.
Het meest verstrekkende argument van Facebook Ierland is dat zij niet gebonden is aan de verplichtingen in artikel 11.7a lid 1 Tw als zij informatie ontvangt over de Achterban via cookies die worden geplaatst op websites van derden.
14.14.
Niet in geschil is dat door het plaatsen van cookies op de website van derden informatie wordt uitgewisseld tussen de browser van de gebruiker en de server van Facebook. Volgens het AP-rapport bevatten in 2016 meer dan de helft van de 500 best bezochte websites in Nederland advertentiecookies van Facebook. De vraag is wie in die gevallen verantwoordelijk is voor de informatie- en toestemmingsverplichting uit hoofde van de Tw: de beheerder van de website die de gebruiker bezoekt en/of de adverteerder (in dit geval Facebook Ierland) van wie een cookie wordt geplaatst op het apparaat van de gebruiker.
14.15.
De verplichtingen op grond van artikel 11.7a Tw rusten op degene die verantwoordelijk is voor het plaatsen van gegevens in de randapparatuur en het verkrijgen van toegang tot de in de randapparatuur opgeslagen gegevens. Ook in het geval van third-party cookies is Facebook Ierland verantwoordelijk. De cookies worden immers geplaatst op de website van de derde op haar verzoek. De adverteerder kan evenwel met de betreffende website-exploitant overeenkomen dat de verplichtingen uit hoofde van artikel 11.7a Tw door de websitebeheerder worden uitgeoefend [42] . De stelling van Facebook Ierland dat zij dergelijke overeenkomsten sluit met website-exploitanten en dat de website-exploitanten akkoord moeten gaan met de BTT en Platformbeleid van Facebook Ierland waarin is voorgeschreven dat de website-exploitant de nodige informatie verstrekt en toestemming verkrijgt, is door de Stichting onvoldoende weersproken. Dat betekent dat als de website-exploitant informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, Facebook Ierland dat niet óók hoeft te doen. Het had gelet op de betwisting van Facebook Ierland op de weg van de Stichting gelegen om concreet te maken dat Facebook Ierland geen overeenkomsten met website-exploitanten sluit, dan wel niet toeziet op de naleving daarvan, bijvoorbeeld door middel van voorbeelden van websites van derden waarop third-party cookies van Facebook Ierland worden geplaatst en waarbij de website beheerder niet heeft voldaan aan de verplichtingen in artikel 11.7a Tw. Nu de Stichting dit heeft nagelaten kan niet worden vastgesteld dat Facebook Ierland artikel 11.7a Tw (of artikel 4.1 Bude) heeft geschonden en zal de vordering a.ii.3 worden afgewezen.
14.16.
Het voorgaande laat onverlet dat Facebook Ierland bij de verwerking van persoonsgegevens die zij krijgt door het gebruik van cookies moet voldoen aan de voorschriften van de AVG en de Wbp. Dat betekent dat voor die via cookies verkregen persoonsgegevens een rechtsgeldige verwerkingsgrondslag moet bestaan. Zoals hiervoor in de hoofdstukken 12 en 13 is geoordeeld, had Facebook Ierland geen geldige verwerkingsgrondslag voor de verwerking van (gewone en bijzondere) persoonsgegevens voor advertentiedoeleinden. Dat oordeel geldt ook voor zover die persoonsgegevens zijn verkregen en/of verwerkt door middel van cookies.
15.Vrienden van de Achterban
15.1.
Vordering b heeft betrekking op vrienden van de Achterban. De Stichting stelt dat het aan Facebook c.s. verweten gedrag ter zake van gegevensverwerking zich ook heeft uitgestrekt tot de Facebookvrienden van Facebookgebruikers. Omdat deze vrienden ook Facebookgebruikers zijn, behoren zij, voor zover zij in de relevante periode in Nederland woonden, tot de Achterban. Indien een Facebookvriend in het buitenland woonde en niet zelf tot de Achterban behoort, dan is het zonder verwerkingsgrondslag verwerken van persoonsgegevens van vrienden niet alleen onrechtmatig jegens die vrienden, maar is dat ook onrechtmatig jegens de Facebookgebruiker met wie die vrienden bevriend zijn. Facebook c.s. heeft zich namelijk onrechtmatig de gegevens toegeëigend die een Facebookgebruiker op zijn account bewaarde over zijn vrienden, aldus de Stichting.
15.2.
Facebook c.s. heeft hiertegen aangevoerd dat de grondslag voor deze vordering onduidelijk is en ontbreekt. De Wbp en AVG geven geen recht om vorderingen in te stellen die zien op de verwerking van persoonsgegevens van anderen. Het statutaire doel van de Stichting is beperkt tot Facebookgebruikers en de vorderingen draaien om vermeend handelen jegens de Achterban. Voor zover het om Facebookgebruikers gaat, zijn dergelijke vorderingen al ondergebracht in vordering a.i.1.
15.3.
De rechtbank is van oordeel dat vordering b niet kan worden toegewezen. Voor zover het verwijt betrekking heeft op een Facebookvriend die behoort tot de Achterban wordt dit handelen bestreken door de vordering onder a. De Stichting heeft onvoldoende toegelicht dat sprake is van een hiervan te onderscheiden, afzonderlijk onrechtmatig handelen jegens de Achterban. Voor zover het verwijt betrekking heeft op een Facebookvriend die niet behoort tot de Achterban kan, anders dan de Stichting stelt, een onrechtmatige verwerking van persoonsgegevens van een vriend niet als een onrechtmatig handelen
jegens de Achterbanworden aangemerkt. De verwerking betreft immers de persoonsgegevens van die vriend. Voor zover de Stichting bedoelt te stellen dat er ook onrechtmatig is gehandeld jegens vrienden van de Achterban die niet behoren tot de Achterban, heeft zij, gelet op de groep van personen voor wie de Stichting in deze collectieve actie volgens haar statutaire doelstelling opkomt, geen vorderingsrecht.
jegens de Achterbanworden aangemerkt. De verwerking betreft immers de persoonsgegevens van die vriend. Voor zover de Stichting bedoelt te stellen dat er ook onrechtmatig is gehandeld jegens vrienden van de Achterban die niet behoren tot de Achterban, heeft zij, gelet op de groep van personen voor wie de Stichting in deze collectieve actie volgens haar statutaire doelstelling opkomt, geen vorderingsrecht.
16.Locatiegegevens
16.1.
In haar processtukken heeft de Stichting gesteld dat Facebook Ierland aan de Achterban geen informatie, althans geen duidelijke informatie, heeft verstrekt over het gebruik en het verwerken van locatiegegevens van de Achterban die werden achterhaald via de vrienden van de Achterban. Volgens de Stichting bepaalde Facebook Ierland de locatie van leden van de Achterban mede op basis van locatiegegevens die zij via vrienden van de Achterban op de Facebookdienst achterhaalde en gebruikte die locatiegegevens voor advertentiedoeleinden.
16.2.
De rechtbank stelt vast dat de Stichting geen afzonderlijke vordering heeft geformuleerd die specifiek is gericht op de verwerking van locatiegegevens. Kennelijk moet het betoog van de Stichting worden gelezen in het licht van haar vordering a.i. en/of haar vordering a.ii.1.
16.3.
Voor zover de locatiegegevens zijn te scharen onder de gegevens over de verwerking waarvan Facebook Ierland de Achterban onvoldoende heeft geïnformeerd (zie het oordeel over vordering a.i.) en/of onder de gegevens die Facebook Ierland heeft verwerkt zonder geldige verwerkingsgrondslag (zie het oordeel over vordering a.ii.1), gelden die oordelen ook voor de locatiegegevens. In zoverre behoeft de verwerking van de locatiegegevens dus geen afzonderlijke bespreking. Voor het overige heeft de Stichting niet duidelijk gemaakt in het licht van welke andere vordering(en) een (afzonderlijk) oordeel over de locatiegegevens van belang is.
17.Oneerlijke handelspraktijk?
17.1.
De Stichting stelt dat Facebook c.s. zich ook schuldig heeft gemaakt aan oneerlijke en/of misleidende handelspraktijken. Zij voert hiervoor samengevat het volgende aan.
- Facebook Inc., Facebook Ierland en Facebook Nederland zijn handelaren in de zin van de Richtlijn oneerlijke handelspraktijken (hierna ook: Richtlijn OHP) [43] .
- Facebook c.s. heeft als handelaar onrechtmatig gehandeld om de volgende redenen:
Facebook c.s. verwerkte (vertrouwelijke) persoonsgegevens met het doel daarmee omzet te genereren en informeerde Facebookgebruikers onvoldoende duidelijk en/of tijdig over dat doel (artikel 6:193b lid 1 en/of artikel 6:193d leden 2 en 3 BW)
Facebook c.s. heeft Facebookgebruikers onvoldoende duidelijk en/of tijdig geïnformeerd over de schaalgrootte van de inwinning van (vertrouwelijke) persoonsgegevens en het beschikbaar stellen daarvan aan derden, althans het gebruik daarvan ten behoeve van derden (artikel 6:193b lid 1 en/of artikel 6:193d leden 2 en 3 BW). Het door Facebook c.s. gebruikte gegevensbeleid en cookiebeleid tonen niet de ongekende omvang van de gegevensverwerking en gaan alleen in verhullende bewoordingen in op het verdienmodel.
Facebook c.s. deed voorkomen of de Facebookdienst gratis was terwijl Facebookgebruikers betaalden met hun persoonsgegevens (artikel 6:193b lid 1 en/of artikel 6:193c lid 1 onder a en d in samenhang met artikel 6:193g onder t BW). De Facebookdienst is niet gratis. Persoonsgegevens kunnen worden aangemerkt als een prijs in de zin van de Richtlijn OHP. Tot augustus 2019 stond op de startpagina van Facebook onder “Registreren”: “Het is gratis (en dat blijft het ook)”. Vanaf augustus 2019 is deze tekst niet meer gebruikt. Toen stond er in de Gebruikersvoorwaarden: “We brengen geen kosten in rekening voor het gebruik van Facebook (...)”.
17.2.
Facebook c.s. is het niet eens met de stellingen van de Stichting. Zij wijst erop dat de vorderingen a.iii.1 en a.iii.2 (zoals ook hiervoor in r.o. 17.1 onder 1 en 2 toegelicht) geheel dubbelop zijn met de vordering a.i. Zij voert in dit verband ook aan dat de vorderingen uit hoofde van oneerlijke handelspraktijken volledig zijn gebaseerd op een schending van het recht op gegevensbescherming terwijl het recht op gegevensbescherming een
lex specialisis, waardoor er geen ruimte meer is voor vorderingen op grond van de Richtlijn OHP ten aanzien van de noodzakelijke informatieverstrekking aan gebruikers. Facebook c.s. betwist daarnaast dat Facebook Inc. en Facebook Nederland handelaren zijn. Zij hebben aan de Achterban geen mededelingen gedaan die relevant zijn voor de vorderingen op grond van deze grondslag. Ten slotte betwist Facebook c.s. dat sprake is van een oneerlijke handelspraktijk op de drie gestelde gronden. Facebook c.s. wijst in dat verband onder meer erop dat Facebook Ierland niet de gegevens van haar gebruikers verkoopt om inkomsten te genereren, maar dat zij inkomsten genereert door adverteerders de mogelijkheid te bieden hun advertenties te tonen aan een specifieke doelgroep (zonder informatie te delen die gebruikers persoonlijk identificeert). Zij is altijd transparant geweest over haar bedrijfsmodel en het feit dat gepersonaliseerde advertenties hiervan deel uitmaken. Facebook c.s. voert aan dat zij voldoende (en geen misleidende) informatie heeft verstrekt en dat de gratis-verklaring evenmin misleidend en oneerlijk is. Er ontbreekt bewijs dat een lid van de Achterban in zijn transactiebeslissing is beïnvloed.
lex specialisis, waardoor er geen ruimte meer is voor vorderingen op grond van de Richtlijn OHP ten aanzien van de noodzakelijke informatieverstrekking aan gebruikers. Facebook c.s. betwist daarnaast dat Facebook Inc. en Facebook Nederland handelaren zijn. Zij hebben aan de Achterban geen mededelingen gedaan die relevant zijn voor de vorderingen op grond van deze grondslag. Ten slotte betwist Facebook c.s. dat sprake is van een oneerlijke handelspraktijk op de drie gestelde gronden. Facebook c.s. wijst in dat verband onder meer erop dat Facebook Ierland niet de gegevens van haar gebruikers verkoopt om inkomsten te genereren, maar dat zij inkomsten genereert door adverteerders de mogelijkheid te bieden hun advertenties te tonen aan een specifieke doelgroep (zonder informatie te delen die gebruikers persoonlijk identificeert). Zij is altijd transparant geweest over haar bedrijfsmodel en het feit dat gepersonaliseerde advertenties hiervan deel uitmaken. Facebook c.s. voert aan dat zij voldoende (en geen misleidende) informatie heeft verstrekt en dat de gratis-verklaring evenmin misleidend en oneerlijk is. Er ontbreekt bewijs dat een lid van de Achterban in zijn transactiebeslissing is beïnvloed.
Beoordelingskader
17.3.
Bij de beoordeling van de vraag of sprake is van een oneerlijke handelspraktijk is het volgende kader van belang. De Richtlijn OHP is geïmplementeerd in de artikelen 6:193a en verder BW.
17.4.
Een handelaar handelt op grond van artikel 6:193b lid 1 BW onrechtmatig jegens een consument indien hij een handelspraktijk verricht die oneerlijk is. Een handelspraktijk is oneerlijk, zo staat in artikel 6:193b lid 2 BW, indien de handelaar handelt (a) in strijd met de vereisten van professionele toewijding, en (b) het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt, waardoor deze consument een besluit over een overeenkomst neemt of kan nemen dat hij anders niet had genomen. De consument moet dus de gelegenheid krijgen om tot een geïnformeerd besluit te komen bij (in ieder geval) het aangaan van de overeenkomst. Voor een geslaagd beroep op artikel 6:193b lid 2 BW is vereist dat de gemiddelde consument zodanig beperkt wordt in zijn vermogen om een geïnformeerd besluit te nemen dat hij daardoor een besluit over een overeenkomst neemt of kan nemen dat hij anders niet had genomen. Een handelspraktijk is op grond van het derde lid van deze bepaling in het bijzonder oneerlijk indien een handelaar een misleidende handelspraktijk verricht als bedoeld in artikel 6:193c tot en met 193g BW.
17.5.
Van een misleidende handelspraktijk in de zin van artikel 6:193c BW is sprake indien informatie wordt verstrekt die feitelijk onjuist is of die de gemiddelde consument misleidt of kan misleiden, al dan niet door de algemene presentatie van de informatie, zoals ten aanzien van:
(a) het bestaan of de aard van het product, of
(…)
(d) de prijs of de wijze waarop de prijs wordt berekend, of het bestaan van een specifiek prijsvoordeel
(…).
Op grond van artikel 6:193g onder t BW is het onder alle omstandigheden misleidend om een product als gratis, voor niets of kosteloos te omschrijven als de consument iets anders moet betalen dan de onvermijdelijke kosten om in te gaan op het aanbod en het product af te halen dan wel dit te laten bezorgen. Voor de situatie van artikel 6:193g onder t BW geldt geen causaliteitsvereiste.
17.6.
Een handelspraktijk is op grond van artikel 6:193d BW bovendien misleidend indien sprake is van een misleidende omissie. Daarvan is volgens het tweede lid sprake wanneer essentiële informatie die de gemiddelde consument nodig heeft om een geïnformeerd besluit over een transactie te nemen wordt weggelaten, waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen. Van een misleidende omissie is volgens het derde lid ook sprake indien essentiële informatie als bedoeld in het tweede lid verborgen wordt gehouden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze of laat verstrekt wordt, of het commerciële oogmerk, indien dit niet al duidelijk uit de context blijkt, niet laat blijken.
17.7.
Op grond van artikel 6:193a BW wordt onder het begrip “handelaar” voor zover relevant verstaan de rechtspersoon die handelt in de uitoefening van een beroep of bedrijf of degene die ten behoeve van hem handelt. Onder het begrip “handelspraktijk” wordt verstaan iedere handeling, omissie, gedraging, voorstelling van zaken of commerciële communicatie, met inbegrip van reclame en marketing, van een handelaar, die rechtstreeks verband houdt met de verkoopbevordering, verkoop of levering van een product aan consumenten.
17.8.
De bewijslast ten aanzien van de oneerlijkheid van een handelspraktijk rust in beginsel op de consument. Alleen voor zover het gaat om de materiële juistheid en volledigheid van de verstrekte informatie, is sprake van een omgekeerde bewijslast (artikel 6:193j BW).
17.9.
In de Richtsnoeren voor de tenuitvoerlegging/toepassing van Richtlijn 2005/29/EG betreffende oneerlijke handelspraktijken van de Europese Commissie van 25 mei 2016 – die alleen bedoeld zijn als leidraad – wordt het verbod om iets ten onrechte als gratis te verklaren als volgt toegelicht:
Dit verbod is gebaseerd op het idee dat de consument bij de bewering dat iets “gratis” is ook precies dat verwacht, dus dat hij iets krijgt zonder dat hij in ruil daarvoor geld hoeft te geven.
17.10.
In deze Richtsnoeren uit 2016 heeft de Europese Commissie verder over de wisselwerking met het gegevensbeschermingsrecht het volgende toegelicht:
Als een handelaar de gegevensbeschermingsrichtlijn of de e-privacyrichtlijn schendt, betekent dit op zich niet altijd dat de praktijk ook strijdig is met de richtlijn oneerlijke handelspraktijken.
Dergelijke inbreuken op de gegevensbescherming moeten evenwel in aanmerking worden genomen bij de beoordeling van de algehele oneerlijkheid van handelspraktijken op grond van de richtlijn oneerlijke handelspraktijken, met name wanneer de handelaar consumentengegevens verwerkt in strijd met de gegevensbeschermingsvoorschriften, d.w.z. voor direct marketing of andere commerciële doeleinden zoals profilering, persoonlijke prijsstelling of "big data"-toepassingen.
Uit het oogpunt van de richtlijn oneerlijke handelspraktijken moet als eerste de transparantie van de handelspraktijk worden beoordeeld.
Overeenkomstig de artikelen 6 en 7 van de richtlijn oneerlijke handelspraktijken mogen handelaren de consument niet misleiden betreffende aspecten die invloed kunnen hebben op zijn besluit over een transactie. Meer bepaald beletten artikel 7, lid 2, en punt 22 van bijlage I handelaren om het commerciële oogmerk van de handelspraktijk verborgen te houden.
De inzake gegevensbescherming vereiste informatie van consumenten over de verwerking van persoonsgegevens, niet alleen beperkt tot informatie in verband met commerciële communicatie, kan als essentieel worden beschouwd (artikel 7, lid 5).
Persoonsgegevens, consumentenvoorkeuren en andere door gebruikers gegenereerde inhoud hebben de facto een economische waarde en worden aan derden verkocht.
Bijgevolg kan het, op grond van artikel 7, lid 2, en punt 22 van bijlage I van de richtlijn oneerlijke handelspraktijken, als misleidende omissie van essentiële informatie worden beschouwd als de handelaar een consument er niet van op de hoogte brengt dat de gegevens die hij aan de handelaar moet verstrekken om toegang tot de dienst te krijgen, worden gebruikt voor commerciële doeleinden.
Afhankelijk van de omstandigheden kan dit ook worden beschouwd als een schending van de EU-verplichtingen inzake gegevensbescherming om aan de betrokkene de vereiste informatie te verstrekken betreffende de doeleinden van de verwerking van de persoonsgegevens.
17.11.
De Europese Commissie heeft op 29 december 2021 nieuwe richtsnoeren [44] opgesteld in verband met de Moderniseringsrichtlijn [45] . De Moderniseringsrichtlijn heeft in 2022 de Richtlijn OHP en enkele andere richtlijnen gewijzigd en ziet dus niet op de periode die de rechtbank in deze zaak moet beoordelen. In deze Richtsnoeren is onder meer het volgende opgenomen:
Dit verbod is gebaseerd op het idee dat de consument bij de bewering dat iets “gratis” is, ook precies dat verwacht, dus dat hij iets krijgt zonder in ruil daarvoor geld te hoeven geven.
(...)
Producten die als “gratis” worden gepresenteerd, komen met name veel voor in de onlinesector. Bij veel van dergelijke diensten worden echter persoonsgegevens van gebruikers verzameld, zoals hun identiteit en e-mailadres. Het is belangrijk om op te merken dat de richtlijn oneerlijke handelspraktijken geldt voor alle handelspraktijken waarbij sprake is van “gratis” producten en dat betaling met geld geen voorwaarde voor toepassing van de richtlijn is. Bij gegevensgestuurde praktijken is sprake van een wisselwerking tussen de EU-wetgeving inzake gegevensbescherming en de richtlijn oneerlijke handelspraktijken. Er is sprake van een groeiend bewustzijn van de economische waarde van informatie over de voorkeuren van consumenten, persoonsgegevens en andere door gebruikers gegenereerde inhoud. Het in de handel brengen van dergelijke producten als “gratis”, zonder de consumenten afdoende uit te leggen hoe hun voorkeuren, persoonsgegevens en door gebruikers gegenereerde inhoud zullen worden gebruikt, vormt mogelijk een inbreuk op de wetgeving inzake gegevensbescherming en kan tevens als een misleidende praktijk worden beschouwd.
17.12.
Met de Moderniseringsrichtlijn is de situatie van het verstrekken van een digitale dienst in ruil voor het verstrekken van persoonsgegevens overigens niet expliciet in de Richtlijn OHP opgenomen.
Samenloop
17.13.
De artikelen 6:193a en verder BW vormen de implementatie van de Richtlijn OHP. Deze richtlijn beoogt maximumharmonisatie. Dit betekent dat lidstaten de consument niet minder en ook niet meer bescherming mogen bieden dan in de richtlijn is bepaald. Artikel 3 lid 2 van de Richtlijn OHP bepaalt dat deze richtlijn het verbintenissenrecht en, in het bijzonder, de regels betreffende de geldigheid, de opstelling en de rechtsgevolgen van contracten onverlet laat. Daaruit kan worden afgeleid dat de consument in beginsel een keuzevrijheid toekomt als een situatie zowel onder het toepassingsbereik van de oneerlijke handelspraktijk als onder het toepassingsbereik van een andere regeling valt, een en ander behoudens de in artikel 3 lid 4 bedoelde – en hier niet aan de orde zijnde – situatie van specifieke communautaire wetsbepalingen betreffende specifieke aspecten van oneerlijke handelspraktijken. In gevallen van samenloop is het uitgangspunt dat beide regelingen naast elkaar van toepassing kunnen zijn, behoudens een andersluidende bepaling in de betreffende regeling. Er zijn geen aanknopingspunten te vinden waaruit kan worden afgeleid dat de Uniewetgever heeft beoogd om op dit punt de Privacyrichtlijn respectievelijk de AVG exclusief toepassing te laten vinden, integendeel. Het HvJ EU heeft in 2022 bevestigd dat de schending van een regel inzake de bescherming van persoonsgegevens tegelijkertijd kan leiden tot de schending van regels inzake consumentenbescherming of oneerlijke handelspraktijken. [46] Het andersluidende standpunt van Facebook c.s., vindt dus geen steun in het recht en wordt daarom niet gevolgd. Dat betekent dat de rechtbank toekomt aan een beoordeling van de vorderingen van de Stichting over een oneerlijke handelspraktijk.
Wie is handelaar?
17.14.
Voor wat betreft de vraag wie als handelaar kan worden aangemerkt, is de rechtbank van oordeel dat, in het licht van de gemotiveerde betwisting van Facebook c.s., niet is gebleken dat Facebook Inc. en Facebook Nederland informatie hebben verstrekt aan de Achterban die relevant is in het kader van oneerlijke handelspraktijken. Dat de gedragingen van Facebook Ierland aan Facebook Inc. en/of Facebook Nederland moeten worden toegerekend, is niet komen vast te staan. De door Facebook c.s. betwiste stelling, dat Facebook Inc. en Facebook Nederland bepaalde informatieverstrekkingen creëerden die Facebook Ierland vervolgens aan Facebookgebruikers liet zien, volstaat daarvoor in elk geval niet. Ook de door de Stichting naar voren gebrachte omstandigheid dat het bestuur van Facebook Nederland een overlap had met het bestuur van Facebook Ierland legt hiervoor geen doorslaggevend gewicht in de schaal. De rechtbank volgt de Stichting daarom niet in haar (onvoldoende onderbouwde) standpunt dat ook Facebook Inc. en Facebook Nederland ten opzichte van de Achterban als handelaar zijn aan te merken.
Is sprake van een oneerlijke handelspraktijk?
17.15.
Vervolgens komt de rechtbank toe aan de kern: is sprake van een oneerlijke handelspraktijk door Facebook Ierland?
17.16.
De rechtbank begint bij het derde als zelfstandig door de Stichting gepresenteerde verwijt: de gratisverklaring. De rechtbank moet dit beoordelen aan de hand van de regelgeving in de relevante periode.
Het was (en is) niet toegestaan om een product als gratis te omschrijven als de consument geen kosten moet betalen om in te gaan op het aanbod en het product af te halen of te laten bezorgen, maar wel voor iets anders. Het ging daarbij in de relevante periode, zoals in de richtsnoeren uit 2016 (en overigens ook in de richtsnoeren uit 2021) is toegelicht, erom, dat een consument bij de bewering dat iets “gratis” is ook precies dat verwacht, dus dat hij iets krijgt zonder dat hij in ruil daarvoor geld hoeft te geven. De vermelding dat de Facebookdienst gratis is, kan daarom worden opgevat als de mededeling dat voor het gebruik maken van de dienst geen geldelijke tegenprestatie hoeft te worden verricht. Aangezien vast staat dat er geen geld hoeft te worden betaald voor de Facebookdienst, is de gratisverklaring in de relevante periode op zichzelf beschouwd in zoverre dus niet misleidend. Voor zover uit de richtsnoeren uit 2021 mogelijk ook een andere benadering zou kunnen worden afgeleid, hecht de rechtbank daaraan in deze procedure geen doorslaggevend gewicht. De gratisverklaring op zichzelf vormde in de relevante periode naar het oordeel van de rechtbank geen oneerlijke handelspraktijk als bedoeld in artikel 6:193g onder t BW en de daarop gerichte vordering moet daarom worden afgewezen.
Dat neemt niet weg dat die gratisverklaring wel een rol kan spelen bij de beoordeling van het eerste verwijt, dat hierna zal worden beoordeeld.
17.17.
Het is gelet op het hiervoor geschetste toetsingskader niet toegestaan om de consument te misleiden over aspecten die van invloed kunnen zijn op zijn besluit over een transactie. Uit hetgeen hiervoor in het kader van het privacyrecht is overwogen, volgt dat Facebook Ierland de Achterban bij het aangaan van de overeenkomst om gebruik te maken van de Facebookdienst onvoldoende heeft geïnformeerd over het doel waarvoor en de wijze waarop persoonsgegevens werden verwerkt. Facebook Ierland is onvoldoende transparant geweest over hoe de voorkeuren, persoonsgegevens en door gebruikers gegenereerde inhoud precies gebruikt werden. Daarbij is Facebook Ierland onvoldoende duidelijk geweest over haar bedrijfsmodel. De prominente vermelding dat de Facebookdienst gratis is, draagt niet bij aan die duidelijkheid. Voor zover Facebook Ierland heeft verwezen naar de inhoud van (de verschillende versies van) haar Gegevensbeleid is dat niet een behoorlijk informeren in de zin van de regelgeving over oneerlijke handelspraktijken, omdat de voor de gemiddelde consument relevante informatie in verhuld taalgebruik in een onderliggende informatielaag is weggestopt. Het niet bij het aangaan van de overeenkomst (helder genoeg) op de hoogte brengen van de omstandigheid dat de (persoons)gegevens die de consument aan Facebook Ierland verstrekt om toegang tot de Facebookdienst te krijgen mede worden gebruikt voor advertentiedoeleinden op de wijze zoals dit gebeurt, moet als een misleidende omissie van essentiële informatie worden beschouwd die de gemiddelde consument – dat wil zeggen de redelijk geïnformeerde, omzichtige en oplettende consument – nodig heeft om een geïnformeerd besluit over het deelnemen aan de Facebookdienst te kunnen nemen als bedoeld in artikel 6:193d BW. Het betreft in dit geval essentiële informatie, ook omdat de verwerking van (persoons)gegevens van een individuele gebruiker door Facebook Ierland voor advertentiedoeleinden veelomvattend was en zich in beginsel uitstrekte tot alle (persoons)gegevens van die gebruiker, daaronder begrepen bijzondere persoonsgegevens.
Deze omissie is van voldoende materieel belang om de gemiddelde consument te kunnen misleiden. Een verdergaand oordeel over het causaal verband hoeft in deze procedure – een collectieve actie – niet te worden gegeven. Pas in het kader van de vaststelling van de aansprakelijkheid jegens een individuele consument komt aan de orde of en, zo ja, in hoeverre deze bij zijn beslissing daadwerkelijk door de misleidende mededeling is beïnvloed en als gevolg daarvan is benadeeld.
17.18.
De Stichting maakt Facebook Ierland ook nog een verwijt over het niet informeren over de omvang en de schaalgrootte van de gegevensverwerking. Het is echter onduidelijk gebleven welke zelfstandige betekenis dit verwijt heeft ten opzichte van hetgeen hiervoor al is geoordeeld. Evenmin is voldoende duidelijk geworden wat de Stichting concreet bedoelt met “de omvang en de schaalgrootte” en “de ongekende omvang” in relatie tot de vraag of sprake is van een oneerlijke handelspraktijk. De Stichting heeft op dit punt dus ook niet aan haar stelplicht voldaan.
17.19.
De conclusie is dat Facebook Ierland zich in de relevante periode schuldig heeft gemaakt aan een oneerlijke handelspraktijk (en daarmee onrechtmatig heeft gehandeld) zoals hiervoor in r.o. 17.17 omschreven.
18.Ongerechtvaardigde verrijking?
18.1.
De Stichting stelt dat Facebook c.s. zichzelf met de verwerking van de persoonsgegevens ten koste van de Achterban ongerechtvaardigd heeft verrijkt. De verwerking (en het verdere) gebruik van persoonsgegevens van Facebookgebruikers was vanwege het ontbreken van een grondslag ongeoorloofd. De persoonsgegevens vertegenwoordigen een economische waarde. Met de persoonsgegevens van de Achterban is het vermogen van Facebook c.s. toegenomen, waarmee de verrijking is gegeven. Het verdienmodel van Facebook c.s. is vrijwel geheel gebaseerd op het verzamelen van persoonsgegevens en deze tegen betaling ter beschikking stellen aan derden, zodat zij feitelijk toegang tot of gebruik van op geld waardeerbare persoonsgegevens verkoopt. Tegenover de verrijking van Facebook c.s. staat de verarming van de Achterban, omdat zij eigendom is verloren dat omvat het verlies van controle over de persoonsgegevens en het feit dat persoonsgegevens van ontoegankelijk toegankelijk zijn geworden.
18.2.
Facebook c.s. betwist dat sprake is van verarming van de Achterban, van verrijking van Facebook c.s., alsmede dat sprake is van een causaal verband daartussen en dat de verrijking ongerechtvaardigd is. Zij voert onder meer aan dat het door de Stichting gestelde verlies van controle over persoonsgegevens niet tot materiële schade leidt en dat dit door de Stichting ook niet is toegelicht. Volgens Facebook c.s. bestond er tijdens de relevante periode geen markt voor individuele gebruikers om hun persoonsgegevens te verkopen en hebben deze gegevens, als dit anders zou zijn, geen concurrerend karakter. Het verwerken van dergelijke gegevens door Facebook c.s. zou dus niets veranderen aan de waarde van de gegevens van een individu.
18.3.
Op grond van artikel 6:212 lid 1 BW is hij die ongerechtvaardigd is verrijkt ten koste van een ander, verplicht, voor zover dit redelijk is, diens schade te vergoeden tot het bedrag van zijn verrijking. Voor toewijzing van een vordering op grond van ongerechtvaardigde verrijking moet zijn voldaan aan vier vereisten: (1) verarming (schade), (2) verrijking (vermogensvermeerdering), (3) een verband tussen de verrijking en de verarming, en (4) de verrijking moet ongerechtvaardigd zijn in de zin dat er geen redelijke oorzaak of rechtvaardigingsgrond voor bestaat. Op de Stichting rust de last de feiten en omstandigheden te stellen en zo nodig te bewijzen die nodig zijn om te kunnen concluderen dat sprake is ongerechtvaardigde verrijking en dus van de vier hierboven genoemde aspecten daarvan. In rechtsoverweging 7.16 van het vonnis in incident is geoordeeld dat de omvang van de eventuele verrijking in het kader van deze collectieve procedure nog geen beantwoording behoeft maar dat uitsluitend moet worden beoordeeld óf sprake is van ongerechtvaardigde verrijking.
18.4.
De vraag of sprake is van ongerechtvaardigde verrijking moet worden beantwoord aan de hand van artikel 6:212 BW. Eén van de vereisten is dat sprake is van verarming/schade. Dat betekent, anders dan de Stichting lijkt te stellen, dat de mogelijkheid van schade niet voldoende is voor toewijzing van de gevorderde verklaring voor recht dat Facebook c.s. ongerechtvaardigd is verrijkt. In zoverre geldt dus een andere norm dan voor de vorderingen die strekken tot verklaringen voor recht op de grond dat sprake is van onrechtmatige daad.
18.5.
Partijen hebben uitgebreid gediscussieerd over de vraag of persoonsgegevens waarde vertegenwoordigen. Dat deze persoonsgegevens voor Facebook c.s. waarde hebben mag duidelijk zijn; haar dienst is hierop gebaseerd. Zij gebruikt dergelijke gegevens immers door deze op een bepaalde manier te verzamelen en de daaruit verkregen informatie te gebruiken om tot een personalisatie te komen. De Stichting heeft in het licht van de gemotiveerde betwisting van Facebook c.s. echter onvoldoende toegelicht dat de Facebookgebruiker van de Achterban door het gebruik van de persoonsgegevens door Facebook c.s. daadwerkelijk in zijn vermogen wordt aangetast en dus wordt verarmd. Hoe het verlies van controle leidt tot een onttrekking aan het vermogen van de Facebookgebruiker heeft de Stichting onvoldoende duidelijk gemaakt.
18.6.
De conclusie is dat de op ongerechtvaardigde verrijking gebaseerde vordering niet toewijsbaar is. Hetgeen partijen hierover verder nog naar voren hebben gebracht, hoeft daarom geen bespreking meer.
19.Afsluitende overwegingen en conclusie
19.1.
Uit de in dit vonnis door de rechtbank gegeven beoordeling volgt dat Facebook Ierland in de periode van 1 april 2010 tot 1 januari 2020 onrechtmatig heeft gehandeld tegenover Nederlandse Facebookgebruikers.
19.2.
Kort gezegd heeft Facebook Ierland de privacyrechten van Nederlandse Facebookgebruikers geschonden en heeft zij een oneerlijke handelspraktijk verricht.
19.3.
Met betrekking tot de privacyrechten heeft Facebook Ierland in het bijzonder:
het grondslagvereiste uit de artikelen 6 en 8 Wbp respectievelijk artikel 5, eerste lid, onderdeel a, en artikel 6, eerste lid, AVG, geschonden door persoonsgegevens van Nederlandse Facebookgebruikers te verwerken voor advertentiedoeleinden zonder dat een dergelijke verwerking kon worden gebaseerd op een rechtsgeldige verwerkingsgrondslag;
het verwerkingsverbod voor bijzondere gegevens uit artikel 16 Wbp respectievelijk artikel 9, eerste lid, AVG geschonden door bijzondere persoonsgegevens (bijvoorbeeld over geloof, etniciteit, seksuele voorkeur en politieke voorkeur) te verwerken voor advertentiedoeleinden;
in strijd gehandeld met de informatieplichten van artikel 33 Wbp respectievelijk artikel 13 AVG door:
o toe te staan dat externe ontwikkelaars toegang hadden tot persoonsgegevens van Nederlandse Facebookgebruikers zonder dat Facebook Ierland die gebruikers (behoorlijk) heeft geïnformeerd over a) de doeleinden van die gegevensverwerking, b) de omstandigheid dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden met externe ontwikkelaars werden gedeeld en c) dat
whitelisted developersook na de introductie van Graph API versie 2 gebruik konden blijven maken van Graph API versie 1 en daardoor toegang behielden tot persoonsgegevens van Facebookvrienden;
whitelisted developersook na de introductie van Graph API versie 2 gebruik konden blijven maken van Graph API versie 1 en daardoor toegang behielden tot persoonsgegevens van Facebookvrienden;
o toe te staan dat [naam 1] en GSR toegang hadden tot persoonsgegevens van Nederlandse Facebookgebruikers, zonder dat Facebook Ierland heeft geïnformeerd over de doeleinden van die gegevensverwerking en de omstandigheid dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden met [naam 1] /GSR werden gedeeld;
o niet te informeren over het ‘integration partnership’-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens van Nederlandse Facebookgebruikers, bestaande uit de toegang van integratiepartners tot hun persoonsgegevens en die van hun Facebookvrienden.
19.4.
Voor de specifieke periodes waarin de afzonderlijke schendingen zich hebben voorgedaan, wordt verwezen naar de daarop betrekking hebbende hoofdstukken en overwegingen.
19.5.
Facebook Ierland heeft nog aangevoerd dat de gevorderde verklaringen voor recht niet toewijsbaar zijn, omdat de Stichting niet duidelijk heeft gemaakt welke van haar verwijten betrekking heeft op welke groep gebruikers. Volgens Facebook Ierland kunnen daarom geen verklaringen voor recht worden gegeven die zien op de gehele Achterban van de Stichting.
19.6.
De rechtbank volgt Facebook Ierland hierin niet. Het begrip Achterban verwijst naar de omschrijving die de Stichting daaraan blijkens haar statuten heeft gegeven (zie r.o. 5.2). Iemand behoort tot de Achterban, indien degene als ‘Gedupeerde’ in de zin van de statuten is aan te merken, hetgeen onder meer betekent dat jegens degene een ‘Privacyschending’ (eveneens gedefinieerd in de statuten) heeft plaatsgevonden. In dit vonnis is geoordeeld dat Facebook Ierland onrechtmatig heeft gehandeld. Dat onrechtmatig handelen laat zich specificeren naar verschillende gegevensverwerkingen en gedragingen. Mede op basis van dit vonnis kan worden vastgesteld wie er tot de Achterban van de Stichting behoort. Dat betekent dat voor recht kan worden verklaard dat onrechtmatig jegens de Achterban is gehandeld. Daarbij hoeft verder niet te worden gedifferentieerd. Wat precies de omvang van de Achterban is, hoeft in deze procedure niet vast te staan. Dat kan in een eventuele vervolgprocedure aan de orde komen. Uit de aard van het zonder grondslag verwerken van persoonsgegevens voor advertentiedoeleinden lijkt echter overigens al te volgen dat in elk geval ten aanzien van deze privacyschending (nagenoeg) alle Nederlandse Facebookgebruikers (die niet handelden in de uitoefening van beroep of bedrijf), die op enig moment tussen 1 april 2010 en 1 januari 2020 gebruik maakten van de Facebookdienst, daardoor zijn getroffen.
19.7.
De vorderingen tegen Facebook Ierland zijn toewijsbaar op de wijze als hierna onder de beslissing is vermeld.
19.8.
Voor zover de Stichting heeft bedoeld te betogen dat Facebook Inc. en Facebook Nederland, ook nu zij niet zijn te kwalificeren als (verwerkings)verantwoordelijken respectievelijk handelaar (in de zin van artikel 6:193a BW), toch (mede) aansprakelijk zijn voor het verweten onrechtmatig handelen, verwerpt de rechtbank dat standpunt. De Stichting heeft niet onderbouwd op grond waarvan andere entiteiten dan de (verwerkings)verantwoordelijke respectievelijk handelaar in dit geval (mede) aansprakelijk zouden zijn voor het vermeend niet naleven van op Facebook Ierland als (verwerkings)verantwoordelijke en als handelaar rustende verplichtingen.
19.9.
De vorderingen tegen Facebook Nederland en Facebook Inc. worden dus afgewezen.
20.Proceskosten
20.1.
Facebook Ierland zal als de overwegend in het ongelijk gestelde partij in de proceskosten van de Stichting worden veroordeeld. De rechtbank kent 4 punten toe aan de proceshandelingen van de Stichting (met 2 punten voor de mondelinge behandeling in verband met de uitgebreide behandeltijd). Vanwege de complexiteit en omvang van de zaak, alsmede de belangen die daarbij aan de orde zijn, acht de rechtbank het maximale forfaitaire tarief van € 4.247,00 per punt passend. De kosten aan de zijde van de Stichting worden met inachtneming van het voorgaande begroot op:
- dagvaarding € 99,01
- griffierecht € 656,00
- salaris advocaat €
16.988,00(4 punten × tarief € 4.247,00)
16.988,00(4 punten × tarief € 4.247,00)
Totaal € 17.743,01
20.2.
In het geschil tussen de Stichting enerzijds en Facebook Nederland en Facebook Inc. anderzijds is de Stichting als de in het ongelijk gestelde partij aan te merken. Aangezien Facebook c.s. gezamenlijk verweer heeft gevoerd, terwijl dat verweer voor het overgrote deel van de geschilpunten hetzelfde was voor alle drie de gedaagden, en in zoverre niet is gebleken dat Facebook Nederland en Facebook Inc. afzonderlijk kosten hebben gemaakt, is er geen aanleiding om een proceskostenveroordeling ten laste van de Stichting ten gunste van Facebook Nederland en Facebook Inc. uit te spreken.
20.3.
De gevorderde wettelijke rente over de door Facebook Ierland te betalen proceskosten is toewijsbaar op de wijze zoals hierna onder de beslissing is vermeld. Datzelfde geldt voor de gevorderde nakosten en de wettelijke rente over de nakosten.
21. De beslissing
De rechtbank
21.1.
verklaart voor recht dat Facebook Ierland jegens de Achterban van de Stichting (toerekenbaar) onrechtmatig heeft gehandeld omdat Facebook Ierland de privacyrechten van de Achterban heeft geschonden op de wijze zoals is geoordeeld in hoofdstuk 11, hoofdstuk 12 en hoofdstuk 13 van dit vonnis,
21.2.
verklaart voor recht dat Facebook Ierland jegens de Achterban van de Stichting (toerekenbaar) onrechtmatig heeft gehandeld omdat Facebook Ierland jegens de Achterban van de Stichting een handelspraktijk heeft verricht die oneerlijk is in de zin van artikel 6:193b lid 3 onder a BW in samenhang gelezen met artikel 6:193d BW als bedoeld in rechtsoverweging 17.17 van dit vonnis,
21.3.
veroordeelt Facebook Ierland in de proceskosten, aan de zijde van de Stichting tot op heden begroot op € 17.743,01, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dit bedrag met ingang van de veertiende dag na de datum van dit vonnis tot de dag van volledige betaling,
21.4.
veroordeelt Facebook Ierland in de na dit vonnis ontstane kosten aan de zijde van de Stichting, begroot op € 173,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat Facebook Ierland niet binnen veertien dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 90,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW met ingang van de veertiende dag na de betekening tot de dag van volledige betaling,
21.5.
verklaart dit vonnis voor wat betreft de kostenveroordelingen uitvoerbaar bij voorraad,
21.6.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. C. Bakker, mr. L. Voetelink en mr. J.T. Kruis, rechters, en in het openbaar uitgesproken op 15 maart 2023.