8.1 Inleiding
200. Vlak na de inwerkingtreding van de AVG op 25 mei 2018 werd door de non-profit organisatie NOYB vier klachten ingediend tegen Google, Facebook en de twee Facebook- dochters Whatsapp en Instagram inzake gedwongen toestemming. Dit gebeurde respectievelijk bij de Franse autoriteit (CNIL), de Oostenrijkse autoriteit, de Duitse autoriteit en de Belgische GBA. Alle zaken werden volgens de toepassingsvoorwaarden van de OSS- procedure doorgezonden naar de Ierse DPC met uitzondering van de klacht bij CNIL tegen Google.318 Er werd gekozen om deze klachten verder uit te spitten aangezien de
uiteindelijke beslissingen een precedent zullen vormen voor vele gebruikers. Op 25 mei 2020 werd door NOYB een open letter319 de wereld ingestuurd waarbij de procedure gevolgd door de Ierse DPC van bovenstaande zaken openlijk werd aangeklaagd. Op basis van de open letter in combinatie met zowel een interview met een medewerker van NOYB, de Belgische GBA en de ex-voorzitter van de Belgische GBA, de Irish Data Protection Act en het jaarverslag van 2019 van de Ierse DPC kon tot een inzicht gekomen worden inzake het verloop van het onderzoek naar deze klachten.
201. Voor wat betreft de samenwerking tussen de autoriteiten werd vooral de klacht tegen Instagram bij de Belgische GBA verder onderzocht. Om dit onderzoek te kunnen uitvoeren, was het meest haalbare een interview met de Belgische GBA af te nemen om zo een inzicht te kunnen verwerven in de samenwerking tussen de GBA als betrokken autoriteit en de Ierse DPC als de leidende autoriteit. Een interview afnemen bij de andere Europese autoriteiten was in het kader van deze masterproef praktisch niet mogelijk.
202. Hiernaast wordt de focus ook gelegd op de klacht tegen Facebook, het moederbedrijf, neergelegd bij de Oostenrijkse autoriteit, omdat deze zaak iets verder gevorderd is dan de andere en door NOYB hieromtrent meer informatie kan worden verschaft. De focus zal het minst komen te liggen op de klacht inzake Whatsapp aangezien hierover minder informatie beschikbaar is.
203. Tot slot wordt dit tweede deel afgesloten met de klacht die werd neergelegd bij de Franse autoriteit. Deze klacht vormt een uitzondering gezien deze niet werd doorgezonden
318 Nieuwsbericht NOYB, “GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, Whatsapp
and Facebook, 25 mei 2018”, https://noyb.eu/en/gdpr-noybeu-filed-four-complaints-over-forced-consent-against-google- instagram-whatsapp-and (ten laatste geraadpleegd op 10 juni 2020).
319 NOYB, “Open Letter on confidential dealings in Facebook case”, 24 juni 2020, https://noyb.eu/en/edpb-responds-open-
68 naar de Ierse DPC en de CNIL deze zelf heeft afgehandeld zonder de OSS-procedure toe te passen.
204. Volgens NOYB is niet voldaan aan de voorwaarden inzake toestemming om als geldige wettelijke grondslag te kunnen dienen voor de desbetreffende verwerkingsactivtiteiten van de desbetreffende bedrijven.320 Wat volgt is eerst en vooral een uiteenzetting van wat de
AVG en het bijhorende advies van de Werkgroep artikel 29 hieromtrent voorschrijven. Vervolgens zal worden ingezoomd op de samenwerking tussen de autoriteiten in de Instagram-zaak, de procedure die in dergelijke zaken door de Ierse DPC wordt toegepast en de ervaring van NOYB als vertegenwoordiger van het datasubject. Wat dient opgemerkt te worden is dat het gaat over een lopende procedure. Om die reden konden de voorzitter van de geschillenkamer van de Belgische gegevensbeschermingsautoriteit en NOYB niet altijd even diep ingaan op de vragen die werden gesteld in de interviews. Wat eveneens aangehaald dient te worden is dat de interviews dateren van de periode tussen november 2019 en april 2020. De respondenten hebben informatie verschaft waarover ze op dat moment beschikten. De zaken zijn op dit moment nog volop gaande.
8.2 NOYB
205. NOYB staat voor None of Your Business en is een NGO die werd opgericht op initiatief van de Oostenrijkse privacy activist Max Schrems. NOYB bestaat uit een internationale groep van experts inzake privacyrecht en de consumentensector. Centraal staat het vertegenwoordigen van de rechten en belangen van gebruikers in het digitale domein, inclusief consumentenrechten, fundamentele privacyrechten, vrijheid van meningsuiting, vrijheid van informatie en het fundamentele recht op een effectief beroep. De organisatie focust zich vooral op commerciële privacy in de private sector en op de handhaving daarvan. Ze proberen op collectieve wijze de rechten van de datasubjecten af te dwingen. Via artikel 80, lid 1 AVG kan NOYB optreden op vraag van een betrokkene en kan men in opdracht van deze betrokkene een klacht indienen en diens rechten uitoefenen. Op die manier tracht NOYB te streven naar een strategische en effectieve handhaving alsook naar het identificeren van de juridische zwakke punten van de bestaande procedures.321
320 Nieuwsbericht NOYB, “GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, Whatsapp
and Facebook”, 25 mei 2018, https://noyb.eu/en/gdpr-noybeu-filed-four-complaints-over-forced-consent-against-google- instagram-whatsapp-and (ten laatste geraadpleegd op 10 juni 2020).
69 8.3 Klachten inzake gedwongen toestemming: privacy à la take it or leave it?
8.3.1 Rechtmatigheid van de verwerkingsactiviteiten
206. Wanneer een verwerkingsverantwoordelijke overgaat tot een verwerkingsactiviteit inzake persoonsgegevens dient men eerst en vooral een wettige grondslag te hebben alvorens te kunnen spreken van een rechtmatige verwerking.322 De
verwerkingsverantwoordelijke dient voor elke verwerkingsactiviteit afzonderlijk dan ook te steunen op een van de volgende zes grondslagen:
1. De betrokkene heeft toestemming gegeven voor de verwerking voor een of meer specifieke doeleinden;
2. De verwerking is noodzakelijk voor de uitvoering van een contract;
3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die rust op de verwerkingsverantwoordelijke op basis van Unie-of lidstaatsrecht;
4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een ander natuurlijk persoon te beschermen;
5. De verwerking is noodzakelijk om een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag uit te voeren eveneens op basis van Unie-of lidstaatsrecht;
6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde behalve wanneer ze tenietgaan door de belangen of de grondrechten en fundamentele vrijheden van de betrokkene inzake de bescherming van persoonsgegevens, met name wanneer de betrokkene een kind is.323
8.3.1.1 Toestemming als wettelijke grondslag
207. Artikel 4, lid 11 AVG omschrijft het begrip “toestemming” gegeven door de betrokkene als volgt: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.” Alvorens de verwerkingsverantwoordelijke kan overgaan tot de verwerkingsactiviteiten, dient de gebruiker afzonderlijke toestemming te geven voor elk doeleinde. Toestemming geven voor een pakket verwerkingsdoeleinden is aldus uit den boze.324 Er worden vervolgens een
aantal noodzakelijke elementen vermeld waaraan de toestemming dient te voldoen alvorens als geldig te kunnen worden beschouwd.
322 Artikel 6, lid 1 AVG. 323 Ibid.
324 GROEP GEGEVENSBESCHERMINGSAUTORITEIT ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig
Verordening 2016/679, 28 november 2017, p.5,
70 8.3.1.1.1 Vrij
208. Eerst en vooral dient de toestemming door de betrokkene vrijelijk te worden gegeven. Dit is een zeer belangrijke voorwaarde. De Artikel 29 werkgroep stelt het volgende: “de betrokkene dient te beschikken over een echte keuze en controle over zijn persoonsgegevens. Als algemene regel schrijft de AVG voor dat als een betrokkene geen werkelijke keuze heeft, zich gedwongen voelt om toestemming te geven of het voor hem negatieve gevolgen zal hebben als hij of zij niet toestemt, de toestemming niet geldig is. Indien toestemming wordt samengevoegd als een niet onderhandelbaar onderdeel van voorwaarden, wordt deze verondersteld niet vrij gegeven te zijn. Bijgevolg wordt toestemming niet geacht vrij gegeven te zijn indien de betrokkene zijn of haar toestemming niet zonder nadelige gevolgen kan weigeren of intrekken.”325 209. Bij de beoordeling of toestemming al dan niet vrijelijk werd gegeven, dient men
rekening te houden met de aanwezigheid van een wanverhouding tussen het datasubject en de verwerkingsverantwoordelijke. Dit is hoe dan ook het geval in de arbeidscontext en in relatie met de overheidsinstanties. Desalniettemin kan er ook in andere omstandigheden sprake zijn van dergelijk onevenwicht. In ieder geval mag er geen sprake zijn van bedrog, intimidatie, dwang, druk of een onvermogen om de vrije wil uit te oefenen.326
210. Tegelijk stelt Artikel 7, lid 4 AVG dat men de uitvoering van een overeenkomst niet afhankelijk mag stellen van het geven van toestemming voor de verwerking van persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van die overeenkomst. Toestemming kan eveneens niet samengevoegd worden met de aanvaarding van voorwaarden. Er mag aldus geen sprake zijn van enige conditionaliteit. Op die manier wordt de verwerking van persoonsgegevens waarvoor toestemming wordt gevraagd geen rechtstreekse of onrechtstreekse tegenprestatie van de uitvoering van een contract, inclusief het verlenen van een dienst. De toestemming en de noodzakelijkheid voor het uitvoeren van een contract zijn twee afzonderlijke wettelijke grondslagen die niet gecombineerd mogen worden. Indien de verwerkingsverantwoordelijke zich baseert op het contract als wettelijke grondslag dan dient de term “noodzakelijk voor de uitvoering van een contract” op strikte wijze te worden geïnterpreteerd. Er moet sprake zijn van een objectieve link tussen de verwerking van de gegevens en het doel van de uitvoering van het contract.327
325 Ibid.
326 GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
28 november 2017, p.6-8, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
327 GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
71 8.3.1.1.2 Specifiek
211. Betrokkenen moeten toestemming kunnen verlenen voor elk afzonderlijk en specifiek doel van de verwerkingsactiviteit. Het is bijgevolg de taak van de verwerkingsverantwoordelijke om voor elk verwerkingsdoel afzonderlijk informatie te verschaffen inzake de verwerkingsactiviteit zodanig dat de betrokkene zelf kan kiezen met welke verwerkingsactiviteit hij wil instemmen. Elk doeleinde vereist een afzonderlijke opt- in en mag niet te vaag of te algemeen worden geformuleerd. De persoonsgegevens kunnen op die manier enkel maar verwerkt worden voor het doeleinde waarvoor men toestemming heeft gegeven.328
8.3.1.1.3 Geïnformeerd
212. Betrokkenen moeten op een geïnformeerde wijze toestemming kunnen geven. Het is dan ook aan de verwerkingsverantwoordelijken om de betrokkene voorafgaand aan de toestemming op toegankelijke wijze informatie te verschaffen. Op die manier krijgen betrokkenen de mogelijkheid om een weloverwogen beslissing te nemen.329 Volgens de
WP29 dienen op zijn minst de volgende zaken aan de gebruikers te worden meegedeeld: - De identiteit van de verwerkingsverantwoordelijke;
- Het doeleinde van elk van de verwerkingen waarvoor toestemming wordt gevraagd; - Welke gegevens er worden verzameld en gebruikt;
- De vermelding van het recht om de toestemming te allen tijde in te trekken; - Informatie over het gebruik van de gegevens voor geautomatiseerde besluitvorming
overeenkomstig artikel 22, lid 2 indien van toepassing;
- Over de risico’s die dergelijke doorgiften bij ontstentenis van een adequaatheidsbesluit en passende waarborgen.330
213. De informatie kan op verschillende manieren gegeven worden maar dient vooral toegankelijk te zijn en te zijn opgesteld in begrijpelijke en duidelijke taal afhankelijk van de doelgroep van de verwerkingsactiviteit.331
328 GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
28 november 2017, p.11-12, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
329 GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
28 november 2017, p.12-13, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
330 Ibid. 331 Ibid.
72 8.3.1.1.4 Ondubbelzinnige wilsuiting
214. Volgens de Artikel 29 Werkgroep vereist de toestemming een duidelijke en actieve handeling van de betrokkene alvorens de verwerkingsverantwoordelijke kan starten met de verwerkingsactiviteit. Het moet met andere woorden duidelijk zijn dat de betrokkene heeft ingestemd met de specifieke verwerkingsactiviteit door middel van een schriftelijke verklaring die ook mag gegeven worden via elektronische middelen of een mondelinge verklaring.332 Er mag bijgevolg geen sprake zijn van enige passiviteit. Toestemming verlenen
door het actief aanvinken van een vinkje wordt door de Artikel 29 Werkgroep beschouwd als een ondubbelzinnige actieve handeling. Stilzwijgen, het gebruik van op voorhand aangekruiste vakjes zijn dan weer geen geldige toestemmingsvormen. 333 Hiernaast wordt
door de Werkgroep nogmaals beklemtoond dat een allesomvattende aanvaarding van algemene voorwaarden niet kan beschouwd worden als een ondubbelzinnige actieve handeling voor toestemming voor het gebruik van persoonsgegevens.334 De Artikel 29
Werkgroep stelt duidelijk: “Toestemming kan niet verkregen worden door middel van dezelfde beweging als het aangaan van een contract of het accepteren van de algemene voorwaarden.”335
8.3.1.1.5 De betrokkene heeft het recht om de toestemming te allen tijde in te trekken 215. Op grond van artikel 7, lid 3 heeft de betrokkene het recht zijn toestemming te allen
tijde in te trekken. Deze handeling dient even makkelijk te zijn als de handeling betreffende het geven van de toestemming, maar het is in se niet zo dat het geven en het intrekken van de toestemming via dezelfde actie moet gebeuren. De verwerkingsverantwoordelijke dient de betrokkene op de hoogte te brengen van dit recht alvorens een effectieve toestemming plaatsvindt. Het intrekken van de toestemming heeft evenwel geen invloed op de rechtmatigheid van de verwerking op basis van toestemming voor de intrekking. Verwerkingsverantwoordelijken hebben wel de verplichting om de gegevens die reeds verwerkt zijn op basis van toestemming te verwijderen van zodra de toestemming wordt ingetrokken.336
332 Overweging 32.
333 Overweging 32 AVG; GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig
Verordening 2016/679, 28 november 2017, p.19,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
334 GROEP GEGEVENSBESCHERMINGS ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
28 november 2017, p.18, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
335 GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679,
28 november 2017, p.16, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf
336 Overweging 32 AVG; GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming overeenkomstig
Verordening 2016/679, 28 november 2017, p.25-26,
73 8.3.1.1.6 Bewijslast
216. Het is aan de verwerkingsverantwoordelijke om te kunnen aantonen dat de betrokkene in kwestie toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. De bewijslast ligt aldus bij de verwerkingsverantwoordelijke.337
8.3.2 Inhoud klachten: pop-ups
217. Net na de inwerkingtreding van de AVG doken zowel bij Facebook, Instagram, Whatsapp en Google pop-ups op met de melding om akkoord te gaan met de gebruiksvoorwaarden en zo ook tegelijk met het volledige privacybeleid dat sindsdien van toepassing zou zijn. Dit werd gecombineerd met de melding dat de diensten niet langer kunnen worden gebruikt indien de gebruiker niet instemt. Op die manier wilden deze bedrijven voldoen aan de voorwaarde inzake de verwerkingsdoeleinden vervat in de AVG. NOYB stelt dat het onduidelijk is welke verwerkingsactiviteiten zijn gebaseerd op welke specifieke rechtsgrondslag. De verwerkingsverantwoordelijken sommen alle zes grondslagen op voor rechtmatige verwerking zonder specifiek te zijn. Omdat in alle vier van de gevallen werd gevraagd om akkoord te gaan met het volledige privacybeleid en de voorwaarden concludeert NOYB hieruit dat de verwerkingen beschreven in de pop-ups gebaseerd zijn op toestemming vervat in artikel 6, lid 1, b AVG.338
218. Volgens NOYB is niet voldaan aan de voorwaarden omtrent de toestemming als verwerkingsgrond en is er sprake van gedwongen toestemming. Er is namelijk geen sprake van vrije toestemming. NOYB stelt dat er eerst en vooral sprake is van een wanverhouding tussen de gebruikers en de verwerkingsverantwoordelijken gezien hun dominante marktpositie. Eveneens ging het weigeren van de toestemming gepaard met nadelige gevolgen, namelijk het niet langer gebruik kunnen maken van de diensten indien men geen toestemming verleende. Hiernaast diende de gebruiker toestemming te verlenen voor zowel de gebruiksvoorwaarden als het gegevensbeleid als een geheeld waardoor niet is voldaan aan de voorwaarde inzake specificiteit. Tot slot is er volgens NOYB ook sprake van conditionaliteit. De gebruiker dient te “betalen” met persoonlijke gegevens om volledige toegang te verkrijgen tot de diensten.339
337 Artikel 7, lid 1 AVG en overweging 42 AVG.
338 Original Complaint NOYB Google LLC, 25 mei 2018, https://noyb.eu/sites/default/files/2020-05/complaint-android.pdf;
Original Complaint Instagram (Facebook Ireland Ltd), 25 mei 2018, https://noyb.eu/sites/default/files/2020-05/complaint- instagram.pdf; Original Complaint NOYB WhatsApp Ireland Ltd, 25 mei 2018, https://noyb.eu/sites/default/files/2020- 05/complaint-whatsapp.pdf; Original Complaint NOYB Facebook Ireland Ltd, 25 mei 2018,
https://noyb.eu/sites/default/files/2020-05/complaint-facebook.pdf.
74 219. Een kwantitatieve studie van het Gallup Instituut toonde aan dat 64% van de gebruikers dergelijke pop-up van Facebook interpreteert als het geven van toestemming. 10% dacht dat men op die manier een contract sloot met Facebook. Hierbij werd ook nagegaan wat volgens de gebruikers de draagwijdte van het contract was. Slechts 1.6 tot 2.5% van deze gebruikers dachten een contract te hebben gesloten op grond waarvan Facebook wettelijk verplicht is hen interessante advertenties te verstrekken en de gegevens te gebruiken voor onderzoeksdoeleinden. Dit zijn namelijk enkele wettelijke verplichtingen die Facebook aangeeft te verstrekken in het kader van het desbetreffende contract. 16% van de gebruikers begrepen de betekenis van de pop-up niet en de laatste 10% beschouwden het als loutere informatie.340
8.3.3 Het gegevensbeleid van Facebook en Instagram
220. Volgens het gegevensbeleid van zowel Facebook als Instagram steunt men daarentegen voor wat betreft de gebruiksvoorwaarden niet langer op toestemming maar op de rechtsgrond inzake het contract op grond van artikel 6, lid 1, b) AVG. In het gegevensbeleid wordt het volgende weergegeven:
“Voor alle personen die juridisch bekwaam zijn om een afdwingbaar contract aan te gaan, verwerken we indien nodig gegevens om onze contracten met jou uit te voeren (de Facebook-voorwaarden en Instagram-voorwaarden, samen 'de Voorwaarden'). We beschrijven de contractuele services waarvoor deze gegevensverwerking nodig is in het gedeelte ‘Onze services van de Voorwaarden’ en in de aanvullende informatiebronnen die vanuit de Voorwaarden toegankelijk zijn. De kerntoepassingen voor gegevens die nodig zijn om onze contractuele services te bieden, zijn:
- Het aanbieden, personaliseren en verbeteren van onze Facebook-producten; - Het bevorderen van veiligheid, integriteit en beveiliging;
- Het overdragen, verzenden, opslaan of verwerken van je gegevens buiten de EER, waaronder in de Verenigde Staten en andere landen;
- Het communiceren met jou, bijvoorbeeld over product gerelateerde zaken; en - Het bieden van consistente en probleemloze ervaringen in alle Producten van
Facebook-bedrijven.” 341
221. Voor de inwerkingtreding van de AVG steunden Facebook en Instagram aldus op toestemming als verwerkingsgrond. Nu heeft men ervoor gekozen om sinds de inwerkingtreding over te schakelen naar het contract als rechtsgrond voor verwerking. Volgens Facebook komen de gebruiksvoorwaarden aldus neer op een civielrechtelijke
340 Das Österrecihische Gallup Institut, “A quantitative study - Facebook and advertising – user-insights”, November 2019,
https://noyb.eu/sites/default/files/2020-05/Gallup_Facebook_EN.pdf.
75 overeenkomst met de gebruiker zonder dat enige toestemming van de gebruiker noodzakelijk zou zijn.342
8.3.4 Het verloop van de zaken
8.3.4.1 De start van de procedures
222. Onmiddellijk na de inwerkingtreding van de AVG op 25 mei 2018 werden aldus vier klachten ingediend door NOYB tegen Google, Instagram, Facebook en WhatsApp inzake gedwongen toestemming. Instagram en WhatsApp maken deel uit van de Facebook- bedrijven.343 De klacht tegen Google werd niet doorverwezen naar de Ierse DPC en werd
reeds afgehandeld door CNIL (zie verder). De andere klachten werden volgens de