16 mei
2017

Autoriteit publiceert nieuwe aanbeveling over de verwerking van persoonsgegevens door Facebook via cookies, social plug-ins en pixels

Op 16 mei 2017 publiceerde de Autoriteit een nieuwe aanbeveling over de verwerking van persoonsgegevens door Facebook via cookies, social plug-ins en pixels. Aanleiding zijn de laatste wijzigingen in het cookiebeleid van Facebook en de manier waarop zij persoonsgegevens verwerkt. De Autoriteit heeft vastgesteld dat Facebook nu nog meer persoonsgegevens verwerkt van zowel gebruikers als niet-gebruikers van Facebook, zonder dat zij daartoe een geldige toestemming bekomt en de andere wettelijke voorwaarden naleeft. De rechtszaak ten gronde tegen Facebook loopt ondertussen verder. Gelijktijdig lopen er verscheidene procedures tegen Facebook bij de overige leden van de Europese Contactgroep van Gegevensbeschermingsautoriteiten, die op 16 mei 2017 een gezamenlijk standpunt hebben ingenomen.


Achtergrond

Op 13 mei 2015 publiceerde de Autoriteit een aanbeveling uit eigen beweging met betrekking tot de verwerking van persoonsgegevens door Facebook van gebruikers en niet-gebruikers aan de hand van cookies en social plug-ins. Sinds deze aanbeveling heeft Facebook haar cookiebeleid en -praktijken gewijzigd in september 2015 en mei 2016. Om die reden nam de Autoriteit op 12 april 2017 een nieuwe aanbeveling aan (03/2017) die zowel een technische als een juridische analyse van de recente wijzigingen omvat. 

Nieuw cookiebeleid en nieuwe volgtechnieken

Ondanks de laatste wijzingen in de praktijken van Facebook meent de Autoriteit dat Facebook nog steeds geen geldige toestemming van de betrokkenen bekomt. Zij is bovendien van oordeel dat de inzameling van persoonsgegevens door Facebook aan de hand van cookies en social plug-ins in meerdere omstandigheden buitensporig is.

Een belangrijke wijziging is dat Facebook vandaag ook het surfgedrag van mensen zonder Facebook account volgt voor advertentiedoeleinden.

Een andere belangrijke wijziging is dat zij sinds augustus 2016 op grote schaal gebruik maakt van zgn. “pixels” om informatie over het surfgedrag van gebruikers en niet-gebruikers te bekomen. Zoals social plug-ins, zijn “pixels” tools die Facebook ter beschikking stelt aan uitbaters van externe websites. Dergelijke pixels verschijnen niet als een knop of icoontje (zoals de “Vind ik leuk” knop) op de externe website, maar als een voor het blote oog onzichtbaar puntje.

De Autoriteit heeft vastgesteld dat ook een aantal Belgische websites gebruik maken van Facebook pixels, waaronder hln.be, rtbf.be en gezondheid.be. De huidige aanbeveling spreekt zich niet uit over de wettigheid van de praktijken van deze website-uitbaters, maar de Autoriteit start hierover een bijkomend onderzoek.

Aanbevelingen aan Facebook

De Autoriteit beveelt Facebook aan om:

  • betrokkenen duidelijk te informeren over haar gebruik van cookies en de inzameling ervan via Facebook social plug-ins, Facebook-pixels of gelijkaardige technologische middelen;
  • een geldige toestemming te bekomen voor het plaatsen van cookies voor zover die niet strikt noodzakelijk zijn voor het verstrekken van een door de betrokkene uitdrukkelijk gevraagde dienst;
  • af te zien van de buitensporige inzameling van cookies via social plug-ins, Facebook-pixels of gelijkaardige technologische middelen.
  • af te zien van het verschaffen van informatie die betrokkenen redelijkerwijze zou kunnen misleiden omtrent de werkelijke draagwijdte van de mechanismen die Facebook ter beschikking stelt om het gebruik van cookies door Facebook te beheren.

Aanbevelingen aan uitbaters van websites en internetgebruikers

Daarnaast geeft de Autoriteit ook een aantal bijkomende aanbevelingen voor uitbaters van externe websites die gebruik maken van de technologieën en diensten die Facebook hen aanbiedt.

Tot slot geeft de Autoriteit opnieuw een aantal aanbevelingen aan internetgebruikers die zich willen beschermen tegen de volgpraktijken van Facebook door middel van social plug-ins.

Gezamenlijk standpunt van Gegevensbeschermingsautoriteiten

De Autoriteit maakt deel uit van een op Europees niveau gecreëerde Contactgroep, samen met de Gegevensbeschermingsautoriteiten van Frankrijk, Nederland, Spanje en Hamburg. Elk van deze toezichthoudende autoriteiten heeft momenteel een eigen onafhankelijke procedure lopen tegen Facebook. De leden van Contactgroep delen evenwel bepaalde inhoudelijke bezwaren, onder meer wat betreft het gebrek aan informatie en de geldigheid van de toestemming van de betrokkenen.

Rechtszaak ten gronde

De huidige gerechtelijke procedure ten gronde tussen de Autoriteit en Facebook voor de Nederlandstalige Rechtbank van Eerste Aanleg Brussel loopt ondertussen verder. Deze procedure ten gronde heeft betrekking op de verwerking van persoonsgegeven door Facebook van zowel gebruikers als niet-gebruikers van Facebook, en door middel van cookies (ook andere dan de zgn. ‘datr’-cookie), social plug-ins en pixels. De rechtszaak ten gronde werd op 15 januari 2016 ingeleid en de pleidooien ervan zullen plaatsvinden op 12-13 oktober 2017.

Eerder procedureverloop

Op 18 mei 2015 werd Facebook in gebreke gesteld voor schendingen van de Privacywet en de Wet Elektronische Communicatie. Op 10 juni 2015 dagvaardde de Autoriteit Facebook Inc., Facebook Belgium BVBA en Facebook Ireland Limited in kortgeding voor de Voorzitter van de Nederlandstalige Rechtbank van Eerste Aanleg Brussel. Het voorwerp van de kortgedingprocedure beperkte zich tot de registratie van het surfgedrag van mensen die geen Facebook-gebruiker zijn door middel van social plug-ins en cookies, in het bijzonder de zgn. ‘datr’ cookie. De kortgedingbeschikking in eerste aanleg van 9 november 2015 waarin Facebook werd bevolen het betwiste gebruik van de datr-cookie te staken, werd op 29 juni 2016 vernietigd door de kortgedingrechter zetelend in hoger beroep wegens bevoegdheidsgronden en gebrek aan urgentie. De Autoriteit richt zich nu op de rechtszaak ten gronde.