META: betalen met geld of met persoonlijke data? (Studio Legale)

Auteur: Joost Peeters (Studio Legale)

Sinds kort legt Meta gebruikers van Facebook en Instagram de keuze op: betalen in geld of betalen met uw persoonsgegevens. Maar kan dit wel zomaar?  

Dit komt de facto neer op betalen in geld of betalen met persoonsgegevens.

De boodschap die bij Europese gebruikers op de schermen verscheen was duidelijk: “Je moet de keuze maken om Facebook te blijven gebruiken”. De keuze dient daarbij gemaakt te worden tussen:

1. Abonneren om de platformen te gebruiken zonder advertenties aan een tarief van 12,99 euro per maand; of
2. Gratis gebruiken met advertenties.

Waar META zich in het verleden reeds op verschillende rechtvaardigingsgronden trachtte te baseren om persoonsgegevens te gebruiken voor commerciële doeleinden, wordt het deze keer opnieuw via de rechtvaardigingsgrond van toestemming geprobeerd.[1]

Ondanks dat de nieuwe vooropgestelde keuze minder “radicaal” is, wringt het schoentje o.i. op dezelfde plaats: ook in het geval van de keuze tussen abonneren of het aanvaarden van gepersonaliseerde advertenties, kan er geen sprake zijn van een vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming.[2]

Meta baseert zich voor deze “nieuwe aanpak” op een zin uit het “obiter dictum”[3] bij de uitspraak van de CJEU C-252/21 waarin staat dat er in een alternatief moet worden voorzien voor reclame, indien nodig voor een passende vergoeding.[4]

Onder welke voorwaarden mogen persoonsgegevens verwerkt worden?

Het verwerken van persoonsgegevens kan enkel rechtmatig zijn indien ten minste aan één van de onderstaande voorwaarden is voldaan:

• de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
• de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
• de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
• de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
• de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
• de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

In het geval van de verwerking van persoonsgegevens door META, komt enkel de rechtmatigheidsgrond gebaseerd op de toestemming van de betrokkene in aanmerking.

Dit werd reeds bevestigd in voormeld arrest C-252/21 van 4 juli 2023.[5]

Hieronder wordt verder toegelicht wat ‘toestemming geven’ exact inhoudt:[6]

De GDPR definieert de toestemming van de betrokkene als volgt: “elke vrije, specifieke geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.”

1. Vrij gegeven

Eerst en vooral dient de toestemming vrij gegeven te zijn. Dit houdt in dat de betrokkene een keuze moet hebben én de controle over de keuze bezit.

Dit betekent dat indien de betrokkene eigenlijk niet écht de keuze heeft, bijvoorbeeld omdat het alternatief nadelige gevolgen voor hem zou hebben, de keuze niet vrij gegeven kan zijn.

Ook in geval de toestemming komt in de vorm van niet-onderhandelbare algemene voorwaarden, is de toestemming niet vrij gegeven.

Daarbij komt ook dat voor het beoordelen van vrij gegeven toestemming de (wan)verhouding tussen de betrokkene en de verwerker in acht wordt genomen. [7]

2. Specifiek

Daarnaast moet de gegeven toestemming ook specifiek zijn. Hiermee wordt bedoeld dat de betrokkene voor elk stuk van de verwerking van zijn persoonsgegevens zijn toestemming moet geven. In geval uw persoonsgegevens dus worden gebruikt voor X, Y en Z zal u voor X, Y en Z apart uw toestemming moeten geven en zullen X, Y en Z allemaal uitdrukkelijk moeten worden omschreven.

3. Geïnformeerd

Vervolgens moet de toestemming ook geïnformeerd gegeven worden. Dit houdt in dat de betrokkene over voldoende informatie moet beschikking i.v.m. de verwerking van zijn persoonsgegevens zodat hij of zij een geïnformeerde keuze kan maken over het al dan niet verlenen van zijn of haar toestemming.

4. Ondubbelzinnige wilsuiting

Ook moet de toestemming ondubbelzinnig worden gegeven. Dit houdt in dat de toestemming een ondubbelzinnige actieve handeling of verklaring vereist van de betrokkene.

Een impliciete toestemming door stilzitten of inactiviteit zal dus nooit een geldige toestemming kunnen uitmaken onder de GDPR-wetgeving.

5. Bijkomende voorwaarden

Ten slotte geldt een geldig gegeven toestemming niet voor eeuwig. Enerzijds moet de gegeven toestemming eenvoudig kunnen worden ingetrokken.[8] Anderzijds zal de gegeven toestemming niet meer gelden in geval de verwerkingsactiviteit aanzienlijk verandert.

Besluit

In dit specifieke geval waar Meta de betrokkene de “keuze” laat tussen het geven  van toestemming om uw persoonsgegevens te gebruiken voor gepersonaliseerde reclame of het betalen van 12,99 euro per maand, kan het o.i. geen vrij gegeven toestemming uitmaken. Niet enkel de verhouding Meta vs. betrokkene, gelet op het monopolie van META, maar ook het feit dat betalen het enige alternatief is, maken dat deze toestemming geenszins een vrij gegeven toestemming is. Veel mensen zullen 12,99 te duur vinden en bij gebrek aan een alternatief social media kanaal zodus gedwongen worden te betalen in data.

Enkel in geval Meta de persoonsgegevens van betrokkene énkel zou gebruiken voor gepersonaliseerde reclame, zou deze toestemming specifiek zijn. In geval bijvoorbeeld ook specifieke nieuwsberichten zouden kunnen worden gepusht (zoals althans in de versie voor deze keuze ons werd aangereikt werd gedaan), zal deze toestemming niet specifiek zijn.

Zonder twijfel wordt dit nauw opgevolgd door privacy/GDPR specialisten en activisten. BV. NOYB die met hun klachten aan de basis lagen van het arrest tegen META.

Daarnaast kan nog de bedenking gemaakt worden hoe en of die betaling in data niet fiscaal belast zou moeten worden.

Verder dient nog in vraag gesteld te worden, mede omwille van het monopolie van META, of met deze “keuze” het recht tot toegang (tot een neutraal en open) internet niet geschonden wordt. Zeker nu zelfs de lijst van onbeslagbare goederen in die zin is aangepast dat toegang tot het internet verzekerd moet blijven en social media een wezenlijk deel van het internet gebruik uitmaakt..[9]

Het wordt dus zeer interessant of en hoelang deze nieuwe “oplossing” van META stand houdt.

Bron: Studio Legale

[1] CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal; art. 6(1)B GDPR, art. 6(1)F GDPR.

[2] Art. 4, 11 GDPR

[3] Een niet bindende redenering bij een uitspraak van het Hof.

[4] Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach

[5] HVJ 4 juli 2023, C-252/21- META Platforms and Others; Court of Justice of the European Union, “Press release n° 113/23.

[6] D., VANDENBUSSCHE, “Wat is geldige toestemming volgens de GDPR?”

[7] Art. 29 Data protection working party, Guidelines on consent under Regulation 2016/679.

[8] Art. 7 GDPR

[9] Art. 1408 Ger.W.