Geen wettelijke verantwoording Facebook voor gegevensverwerking niet-gebruikers via cookies en social plug-ins
NL Rechtbank van Eerste Aanleg Brussel 9 november 2015, IEFbe 1569 (Privacycommissie tegen Facebook)
Uitspraak ingezonden door Frederic Debusseré, time.lex. Zie eerder IEFbe 1411. Van de Privacycommissie: Bij vonnis van 9 november 2015 heeft de Voorzitter van de Rechtbank van Eerste Aanleg te Brussel, zetelend in kortgeding, Facebook Inc., Facebook Ireland Limited en Facebook Belgium BVBA veroordeeld om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben. Kort samengevat:
1. Het Belgische privacyrecht is van toepassing en de Belgische rechter is bevoegd.
2. Hoogdringendheid
3. Het gaat om de verwerking van “persoonsgegevens”
4. Schending van de Belgische privacywetgeving
De Rechtbank wijst er onder andere op dat Facebook geen enkele wettelijke verantwoording kan inroepen voor het verwerken van persoonsgegevens van mensen die geen Facebook-account hebben via cookies en social plug-ins, omdat :
• Facebook geen toestemming daarvoor bekomen heeft;
• Facebook zich niet kan beroepen op een overeenkomst met mensen die geen Facebook-account hebben;
• Facebook zich niet kan beroepen op een wettelijke verplichting;
• het fundamenteel recht op privacy van mensen die geen Facebook-account hebben, zwaarder doorweegt dan het veiligheidsbelang van Facebook.
Bovendien meent de Rechtbank dat Facebooks verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, ook niet eerlijk en rechtmatig is, omdat hun persoonsgegevens reeds verwerkt worden vooraleer zij zich volledig hebben kunnen informeren over de diensten van Facebook en zelfs zonder dat zij van die diensten gebruik wensen te maken.
Wat betreft het door Facebook ingeroepen veiligheidsargument, vindt de Rechtbank het weinig geloofwaardig dat het opvragen van de datr-cookie telkens wanneer een social plug-in op een website laadt, noodzakelijk zou zijn voor de veiligheid van de Facebook-diensten. De Rechtbank stelt dat “zelfs een “digibeet” begrijpt dat de stelselmatige inzameling van de datr-cookie op zich ontoereikend is om de aanvallen waar Facebook van spreekt tegen te gaan omdat criminelen het plaatsen van deze cookie zeer eenvoudig kunnen omzeilen met software die het plaatsen van cookies blokkeert”. Bovendien vindt de Rechtbank dat er minder intrusieve methodes bestaan om de beoogde beveiliging te realiseren, zodat Facebooks verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, disproportioneel is.