Sociale media – Privacy – Onrechtmatige bedingen - Misbruik van machtspositie
De sociale media en in het bijzonder Facebook lagen de laatste maanden meermaals onder vuur. Het centrale punt van kritiek is de wijze waarop sociale media omgaan met de privacy van de gebruikers (en zelfs niet-gebruikers). Daarnaast worden echter ook andere handelingen van sociale media geviseerd (onrechtmatige bedingen, de problematische beursgang en het misbruik van een machtspositie).
Wat hebben sociale media nu precies op hun kerfstok?
Wij geven hierna een beknopt overzicht van enkele recente gebeurtenissen.
Privacy in het vizier
Self-control - Self-responsibility?
Dat een individu beter geen informatie plaatst op sociale media platformen indien hij of zij zijn/haar privacy wenst te beschermen, is tegenwoordig geweten, doch misschien nog steeds in onvoldoende mate. Dit gebrek aan wetenschap zou verholpen kunnen worden door de gebruiker er, bij het aanmaken van zijn/haar ‘account’, ondubbelzinnig op te wijzen dat informatie die hij/zij op het medium plaatst, en bijgevolg het internet instuurt, niet langer onder zijn/haar ‘controle’ is. Een gewaarschuwd gebruiker zou voor twee moeten tellen.
De geleidelijke bewustwording in hoofde van de gebruikers van sociale media dat er ‘iets’ zal gebeuren met de informatie die hij/zij op de sociale media plaatst en de eventuele informatieverstrekking door de sociale media platformen, hebben op zich niet tot gevolg dat de regels inzake de verwerking van persoonsgegevens niet langer moeten worden nageleefd door de betrokken ondernemingen.
Privacy is een grondrecht en de regels inzake verwerking van persoonsgegevens zijn minstens van dwingend recht. De bedingen die gebruikers zouden tekenen aangaande het gebruik van hun gegevens ten spijt, blijven de gebruikers de door deze regelgeving geboden bescherming genieten.
Doorgifte van gegevens in het vizier: einde van de safe harbour
Zo zijn de sociale media ertoe gehouden de bepalingen inzake de doorgifte van persoonsgegevens te respecteren. Facebook werd hieraan herinnerd door de Oostenrijkse rechtenstudent Maximilaan Scherms, die de Ierse Data Protection Officer (hierna “DPC”), en onrechtstreeks ook Facebook, aansprak met betrekking tot de overdracht van persoonsgegevens van Facebook-gebruikers door Facebook Ireland naar het moederbedrijf in de Verenigde Staten (VS). Om deze doorgifte van deze persoonsgegevens te verantwoorden, beriep Facebook zich op de zogeheten ‘Safe Harbour’-beschikking van de Europese Commissie (http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32000D0520&from=EN). In deze Safe Harbour-beschikking werd door de Europese Commissie geoordeeld dat het juridisch kader in de VS passende waarborgen biedt tegen een onrechtmatige verwerking van persoonsgegevens, zodat persoonsgegevens mogen worden overgedragen naar verwerkers in de VS. Maximilaan Scherms verzocht de DPC om een onderzoek te voeren naar dergelijke praktijken, zich beroepend op het feit dat het geldende recht en de praktijk in de VS niet langer voldoende waarborgen boden voor een afdoende bescherming tegen o.a. de ‘surveillance’ door de Amerikaanse overheidsinstanties (bijv. het PRISM-programma van de NSA, zoals aan het licht gebracht door ‘klokkenluider’ Edward Snowden). De DPC weigerde een degelijk onderzoek te starten, waarna het geschil uiteindelijk voor de Ierse High Court kwam, dat op zijn beurt via een prejudiciële vraag het Europees Hof van Justitie verzocht om te oordelen over de vraag of de DPC gebonden is door de Safe Harbour-beschikking, dan wel of de DPC een eigen onderzoek kan voeren in het licht van de feitelijke ontwikkelingen die zich sinds de bekendmaking van de Safe Harbour-beschikking hadden voorgedaan.
In zijn arrest van 6 oktober 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=NL&mode=req&dir=&occ=first&part=1&cid=1009988) oordeelde het Hof van Justitie dat de Safe Harbour-beschikking een eigen onderzoek door de DPC naar de bescherming van de rechten en vrijheden van de persoon wiens persoonsgegevens worden doorgegeven naar een derde land (in casu de VS) niet in de weg staat, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen (of niet langer) waarborgen bieden voor een passend beschermingsniveau t.a.v. de verwerking van persoonsgegevens.
Daarenboven oordeelde het Hof dat de Safe Harbour-beschikking ongeldig is, argumenterend dat in de beschikking van de Europese Commissie nergens uitdrukkelijk werd gesteld dat de VS een adequaat beschermingsniveau garanderen op grond van nationaal recht of internationale verbintenissen die zij zijn aangegaan. Als gevolg van deze beslissing kon Facebook (maar ook alle andere ondernemingen die persoonsgegevens doorgeven naar de VS) zich niet langer beroepen op de Safe Harbour-beschikking en moest het privacybeleid worden herzien. Intussen werd gewerkt aan de zogeheten EU-US Privacy Shield (http://europa.eu/rapid/press-release_IP-16-216_en.htm) waardoor, kort gesteld:
- er strengere verplichtingen worden gelegd aan de in de VS gevestigde ondernemingen die persoonsgegevens van EU burgers verwerken;
- ook ‘clear safeguards’ en transparantieverplichtingen worden opgelegd voor de toegang tot persoonsgegevens door de VS overheidsinstanties; en
- er nieuwe mogelijkheden worden voorzien tot genoegdoening en klachtenbehandeling voor de EU inwoners, wanneer zij menen dat hun rechten worden geschonden.
Sociale plug ins in het vizier
Bijzonder verontrustend is de vaststelling dat ook diegene die er bewust voor opteert geen sociale media ‘account’ aan te maken, toch het risico loopt dat bepaalde op hem/haar betrekking hebbende gegevens buiten zijn/haar weten (en zonder zijn/haar instemming) verwerkt worden.
In opdracht van de Privacycommissie werd door het Interdisciplinair Centrum voor Recht en ICT en het Centrum voor Intellectuele Rechten (ICRI/CIR, www.icri.be), het departement ‘Studies on Media, Information and Telecommunication’ (iMinds-SMIT, website www.smit.vub.ac.be) van de Vrije Universiteit Brussel (VUB) en het ‘Department of Computer Security and Industrial Cryptography’ (COSIC) van de Katholieke Universiteit Leuven (KUL) een uitvoerige studie verricht naar de in januari 2015 gewijzigde algemene voorwaarden van Facebook (zie o.a. https://www.law.kuleuven.be/icri/en/news/item/icri-cir-advises-belgian-privacy-commission-in-facebook-investigation). De eerste versie van het verslag, gedateerd 23 februari 2015, geeft een mooi overzicht van de praktijken van Facebook weer en concludeert dat Facebook in strijd met de Europese wetgeving handelt (o.a. wegens het onvoldoende verspreiden van informatie naar zijn gebruikers toe, wegens het te moeilijk bereikbaar maken van de ‘privacy-settings’, wegens het gebruik van bepaalde moeilijk te veranderen ‘default-settings’, etc.).
Als gevolg van de in januari 2015 gewijzigde gebruiksvoorwaarden van Facebook onderzocht de Belgische Privacycommissie in 2015 deze nieuwe gebruiksvoorwaarden van Facebook, de activiteiten van Facebook, en in het bijzonder de techniek van ‘tracking’ (oftewel het verzamelen van informatie over het surfgedrag van zowel gebruikers als niet-gebruikers) door middel van ‘cookies’ en ‘social plug-ins’ (dit zijn de zogeheten ‘Vind ik leuk’-knoppen en de ‘Delen’-functie).
Op 13 mei 2015 verscheen de aanbeveling van de Belgische Privacycommissie in dit verband: (https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_04_2015.pdf).
Naast een uitvoerige redenering waaruit blijkt dat de Belgische privacywetgeving van toepassing is op, en de Belgische Privacycommissie bevoegd is voor, de gegevensverwerking die door Facebook wordt verricht m.b.t. de persoonsgegevens van Belgische gebruikers, constateerde de Privacycommissie dat Facebook zowel Facebook-gebruikers (zowel de aangemelde, afgemelde, gedeactiveerde, als de ‘opted-out’ gebruikers) als niet-Facebook-gebruikers volgt tot buiten het domein van het sociale netwerk zelf.
De toepassing van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Wet Verwerking Persoonsgegevens of WVP) en de wet van 13 juni 2005 betreffende de elektronische communicatie (Wet Elektronische Communicatie of WEC) indachtig, stelde de Privacycommissie dat “de betrokkene steeds voorafgaand een ondubbelzinnige en specifieke toestemming dient te geven alvorens Facebook de cookie mag plaatsen of ontvangen in het kader van social plug-ins”. Deze toestemming moet dan ook vrij, geïnformeerd, specifiek en ondubbelzinnig zijn. Naar oordeel van de Privacycommissie voldoet Facebook niet of slechts gedeeltelijk aan deze voorwaarden.
Aldus concludeerde de Belgische Privacycommissie dat Facebook:
- volledige transparantie moet bieden t.a.v. het gebruik van ‘cookies’;
- moet afzien van het systematisch plaatsen van langdurige en uniek identificerende ‘cookies’ bij niet-gebruikers van Facebook, alsook van de inzameling en gebruik van gegevens d.m.v. ‘cookies’ en ‘social plug-ins’;
- moet afzien van de verzameling en het gebruik van gegevens van gebruikers d.m.v. ‘cookies’ en ‘social plug-ins’, behoudens bij uitdrukkelijke toestemming van de gebruiker of bij noodzaak voor haar dienstverlening;
- haar aanbod van integratiemogelijkheden van ‘social plug-ins’ moet beperken tot privacyvriendelijke varianten; en
- haar gebruikersinterface moet aanpassen, zodat Facebook de ondubbelzinnige en specifieke toestemming verkrijgt van haar gebruikers voor de inzameling en verwerking van informatie bekomen d.m.v. ‘cookies’.
De beslissing van de Belgische Privacycommissie werd evenwel niet gevolgd door Facebook, wat resulteerde in een procedure in kortgeding voor de Rechtbank van eerste aanleg te Brussel. Bij vonnis van 9 november 2015 (http://www.ie-forum.be/www.delex-backoffice.nl/uploads/file/IEFBE/IE-Forum_be%20NL%20Rechtbank%20van%20Eerste%20Aanleg%20Brussel%209%20november%202015,%20IEFbe%201569%20%28Privacycommissie%20tegen%20Facebook%29.pdf) werd Facebook veroordeeld om, onder verbeurte van een dwangsom van 250.000 EUR per dag, binnen de 48 uur ten aanzien van elke Belgische internetgebruiker die zich niet registreerde als Facebook-gebruiker te staken met:
- het plaatsen van ‘cookies’ wanneer de niet-gebruiker op een webpagina van het facebook.com-domein komt; en
- het inzamelen van ‘cookies’ via ‘social plug-ins’ geplaatst op websites van derden.
Als reactie op dit vonnis in kort geding, besloot Facebook om al haar publieke webpagina’s af te sluiten voor niet-gebruikers. De Privacycommissie reageerde hierop door op te roepen tot een collectief Europees optreden tegen Facebook (http://deredactie.be/cm/vrtnieuws/cultuur%2Ben%2Bmedia/media/2.37414?eid=1.2530056). Met grote belangstelling wordt afgewacht welke instanties hieraan gevolg zullen geven.
Ook de Franse Commission Nationale de l’Informatique et des Libertés kwam tot het besluit dat Facebook onrechtmatig op derde websites gegevens verzamelde van niet-gebruikers en stelde Facebook dan ook formeel in gebreke om dergelijke praktijken te stoppen (“The French data protection authority publicly issues formal notice to FACEBOOK to comply with the French Data Protection Act within three months”, https://www.cnil.fr/en/french-data-protection-authority-publicly-issues-formal-notice-facebook-comply-french-data).
Contractuele bedingen in het vizier
Wanneer een gebruiker een ‘account’ wil aanmaken om van het sociale media platform gebruik te maken, zal hij/zij doorgaans worden gevraagd persoonlijke identificatiegegevens mee te delen en de algemene gebruiksvoorwaarden (elektronisch) te ondertekenen. Het gaat hierbij, ook al is dit voor de gemiddelde gebruiker waarschijnlijk niet altijd duidelijk, om algemene voorwaarden in de juridische zin van het woord, die de relatie tussen de gebruiker en de ‘provider’ van het sociale media platform beheersen. Doorgaans worden in deze algemene voorwaarden een reeks bepalingen opgenomen die in het voordeel van de ‘provider’ zijn, waaronder bepalingen die er in het bijzonder toe strekken de ‘provider’ toe te laten de gegevens, die de gebruiker op het medium plaatst, te gebruiken en door te geven.
De geldigheid van de betrokken bepalingen in de relatie met consumenten was recent eveneens het voorwerp van onderzoek.
Zowel de Franse Commissie voor Onrechtmatige Bedingen als de Belgische Commissie voor Onrechtmatige Bedingen hebben de algemene voorwaarden van diverse sociale media ‘providers’ onderzocht. Uit de Aanbeveling nr. 2014-02 van de Franse ‘Commission des clauses abusives’ betreffende de overeenkomsten voorgesteld door de leveranciers van sociale netwerken (Recommandation n° 2014-02 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux; http://www.clauses-abusives.fr/recom/14r02.htm) volgt dat verschillende bedingen van de algemene voorwaarden van sociale media ‘providers’ onrechtmatig zijn.
De Belgisch Commissie voor Onrechtmatige Bedingen kwam tot een gelijkaardig besluit (http://economie.fgov.be/nl/binaries/COB38_tcm325-276733.pdf) en formuleerde onder andere aanbevelingen betreffende:
- de toestemming met de gebruiksvoorwaarden van de sociale netwerksites, en de duidelijkheid en begrijpelijkheid van deze gebruiksvoorwaarden;
- de bedingen in dergelijke gebruiksvoorwaarden met betrekking tot de toestemming van het gebruik van persoonsgegevens en auteursrechtelijk beschermde gegevens;
- de bedingen tot eenzijdige wijziging van de overeenkomst tussen de gebruiker en de sociale netwerksite;
- de aansprakelijkheidsbeperkingen en vrijwaringsbedingen;
- het bepalen van de bevoegde rechter; en
- de toepasbaarheid van geschillenbeslechtingsclausules.
Investeringen in Facebook in het vizier - KBC Asset Management en beleggers starten ‘class actions’
De beursgang van Facebook op Nasdaq in mei 2012 kan Facebook alsnog ook zuur opbreken. KBC Asset Management heeft samen met andere beleggers twee class actions ingediend tegen Facebook, haar voornaamste bestuurders (Mark Zuckerberg, Marc Andreessen en Peter Thiel), alsook de begeleidende banken (o.a. Goldman Sachs en JP Morgan) (http://trends.knack.be/economie/bedrijven/beursgang-facebook-kbc-wil-zijn-geld-terug/article-normal-240775.html). De redenen voor deze class actions waren de onjuiste en misleidende verklaringen betreffende de omzetverwachtingen die Facebook publiceerde in de aanloop naar haar beursgang.
Het feit dat Facebook kort na haar eerste notering deze omzetverwachtingen gevoelig negatief heeft moeten herzien, leidde volgens KBC en de beleggers tot de neergang van de koers van de Facebook-aandelen. KBC en de desbetreffende beleggers voelden zich geschaad door deze daling van de koers en eisten een compensatie.
Facebook was van mening dat elke belegger zijn eis individueel moest voortzetten, en dat een dergelijke class action dus niet mogelijk was. Evenwel oordeelde de Amerikaanse rechter begin 2016 dat KBC en de beleggers de class action mogen voortzetten (X, KBC kan doorgaan met rechtszaak tegen Facebook, de Standaard, 7 januari 2016). Facebook heeft reeds aangegeven tegen deze beslissing in beroep te zullen gaan.
Machtspositie in het vizier
De inbreuken van Facebook op het vlak van de verwerking van de persoonsgegevens en de bedingen dienaangaande in de algemene voorwaarden, hebben recent in Duitsland eveneens geleid tot de instelling van een onderzoek door de nationale mededingingsautoriteit (het Bundeskartellamt) inzake misbruik van machtspositie (http://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html;jsessionid=8E5857E7658E09C3C14B2DDA2B9FD57E.1_cid378?nn=3591568). De redenering van de Duitse nationale mededingingsautoriteit is dat Facebook, als dominante speler in de markt voor sociale media platformen en bijgevolg ook in de verwerking van persoonlijke gegevens voor commerciële doeleinden, misbruik maakt van haar machtpositie om via onrechtmatige bedingen in de algemene voorwaarden haar gebruikers te doen instemmen met de verwerking en exploitatie van hun persoonlijke gegevens. Het valt nog af te wachten wat de uitkomst van dit onderzoek zal zijn, dat reeds eerder vastgestelde inbreuken van Facebook onder toepassing tracht te brengen van en te sanctioneren op grond van het mededingingsrecht.