Heeft uw bedrijf een ‘fanpagina’ op Facebook? Dan weet u sinds juni vorig jaar dat u, volgens het Europees Hof van Justitie (‘Hof’), samen met Facebook ‘gezamenlijke verantwoordelijken’ bent voor de verwerking van persoonsgegevens van bezoekers van uw Facebook-fanpagina.
‘Social plug-ins’ op de website?
Maar hoe zit dat met een Facebook ‘Like-knop’? Bent u dan als websitebeheerder ook gezamenlijke verantwoordelijke met Facebook voor de relevante verwerking van persoonsgegevens? Deze vraag ligt nu voor bij het Hof.
In deze zaak bood het Duitse Fashion ID een simpele Facebook ‘Like-knop’ aan op zijn website. Zoals zovelen, hoor ik u al denken. De enkele aanwezigheid van de ‘Like-knop’ op de website maakt dat persoonsgegevens van een websitegebruiker – IP-adres en browsegeschiedenis – worden verstrekt aan Facebook. Dit ongeacht of de websitegebruiker op de ‘Like-knop’ klikt of een Facebook-account heeft. Deze verstrekking en daarmee verwerking van persoonsgegevens moet voldoen aan de eisen van de wetgeving inzake gegevensbescherming. Ten tijde van deze zaak gold de Duitse Wet bescherming Persoonsgegevens. Nu geldt de Algemene verordening gegevensbescherming (‘AVG’). Onder de toenmalige wetgeving vond een Duitse consumentenbond het plaatsen van dit soort social plug-ins een schending van de wetgeving inzake gegevensbescherming; ook door Fashion ID als websitebeheerder. Dit onder andere omdat geen toestemming werd gevraagd voor de gegevensverwerking en er onvoldoende over werd geïnformeerd.
Welke elementen zijn volgens de AG doorslaggevend?
Het Hof oordeelde in juni dat het mogelijk maken van een gegevensverwerking de beslissende factor is. Door het enkel embedden van de plug-in maakt de websitebeheerder het mogelijk dat Facebook persoonsgegevens verkrijgt. Dat vindt de Advocaat Generaal (‘AG’)_ op zichzelf al voldoende om als gezamenlijke verantwoordelijke te worden aangemerkt.
De AG merkt hierbij wel meteen op dat hiermee de rol van verantwoordelijke enorm wordt opgerekt. Dit kan nadelige gevolgen hebben. Verantwoordelijken zouden zich achter elkaar kunnen gaan verschuilen. De AVG biedt de ruimte aan gezamenlijke verantwoordelijke om de verantwoordelijkheden te verdelen in een interne regeling (of zoals de AG zegt: contract). Partijen kunnen dus onderling hun verantwoordelijkheden toewijzen. Tegelijkertijd staat zo’n contract of interne regeling los van (a) de hoofdelijke aansprakelijkheid die de gezamenlijke verantwoordelijken hebben naar de betrokkene (in dit geval de websitegebruiker) en (b) dat laatst genoemde bij ieder van de gezamenlijke verantwoordelijken zich kan beroepen op haar recht.. De tussen partijen gesloten interne regeling of contract heeft geen derdenwerking.
Verantwoordelijkheid en aansprakelijkheid websitebeheerder
De AG stelt voor dat de verantwoordelijkheid en aansprakelijkheid van de websitebeheerder worden beperkt tot die fase van de verwerking waarbij een gezamenlijke verantwoordelijke (hier dus de websitebeheerder) betrokken is. De gegevensverwerking die verband houdt met het plaatsen van de ‘Like-knop’ op de website valt dus ook onder de verantwoordelijkheid van de websitebeheerder. De verdere verwerking door Facebook niet.
Verplichtingen
Wie moet toestemming verkrijgen van de websitegebruikers voor de relevante gegevensverwerking? De AG vindt dat – als toestemming voor de gegevensverwerking vereist is – de toestemming moet worden verleend aan de websitebeheerder en hij de websitegebruikers ook moet informeren over deze gegevensverwerking. Dit moet gebeuren voordat de persoonsgegevens worden verstrekt aan Facebook.
In de zaak van het Duitse Fashion ID is het definitieve oordeel van het Hof er nog niet, maar de conclusie van de AG luidt: de websitebeheerder en Facebook zijn ten aanzien van deze verwerking van persoonsgegevens gezamenlijke verantwoordelijk .
Het gebruik van de social plug-ins is wijdverspreid. Als het Hof de AG volgt, is er werk aan de winkel.
Meer artikelen van Kennedy Van der Laan
Dit artikel is ook te vinden in het dossier AVG
