De beheerder van een website moet gebruikers informeren over gegevensverstrekking voordat de gegevens worden verzameld en doorgezonden

21-12-2018

C-40/17

Advocaat-generaal Bobek: de beheerder van een website die de plug-in van een derde zoals de Like-knop van Facebook op zijn website heeft opgenomen waardoor de persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor die fase van de gegevensverwerking.

De beheerder van de website moet de gebruikers de vereiste minimuminformatie verstrekken over die gegevensverwerking en indien nodig hun toestemming verkrijgen voordat de gegevens worden verzameld en doorgezonden.

Fashion ID is een onlinehandelaar in modeartikelen. Zij heeft de ,,Vind ik leuk”-knop van Facebook als plug-in op haar website opgenomen. Dit heeft tot gevolg dat wanneer een gebruiker op de website van Fashion ID belandt, informatie over het IP-adres en de browserstring van die gebruiker naar Facebook wordt doorgezonden. Die doorzending gebeurt automatisch wanneer de website van Fashion ID wordt geladen, ongeacht of de gebruiker op de ,,Vind ik leuk”-knop van Facebook heeft geklikt en of hij al dan niet een Facebookaccount heeft.

Verbraucherzentrale NRW, een Duitse vereniging die consumentenbelangen behartigt, heeft een verbodsactie ingesteld tegen Fashion ID. Zij voert aan dat door het gebruik van die plug-in inbreuk wordt gemaakt op de wetgeving inzake gegevensbescherming.

Het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat NoordrijnWestfalen, Düsseldorf, Duitsland), waarbij de zaak aanhangig is, verzoekt om uitlegging van verschillende bepalingen van de vroegere richtlijn gegevensbescherming van 19951 (die van toepassing blijft op deze zaak maar die inmiddels met ingang van 25 mei 2018 is vervangen door de nieuwe algemene verordening gegevensbescherming van 20162 ).

In zijn conclusie van vandaag stelt advocaat-generaal Michal Bobek het Hof van Justitie voor om allereerst vast te stellen dat de betrokken richtlijn zich niet verzet tegen een nationale wettelijke regeling die aan verenigingen van algemeen nut de bevoegdheid verleent om ter bescherming van de belangen van de consument in rechte op te komen tegen vermeende inbreuken op wetgeving inzake gegevensbescherming.

De advocaat-generaal stelt vervolgens voor om voor recht te verklaren dat volgens de richtlijn gegevensbescherming de beheerder van een website (zoals Fashion ID) die een plug-in van een derde partij op zijn website heeft geplaatst (zoals de ,,Vind ik leuk”-knop van Facebook) die ervoor zorgt dat persoonsgegevens van de gebruiker worden verzameld en doorgezonden, samen met die derde partij dient te worden geacht verantwoordelijk te zijn voor de verwerking.

Deze (mede-)aansprakelijkheid van degene die verantwoordelijk is voor de verwerking is evenwel beperkt tot die bewerkingen ten aanzien waarvan hij het doel of de middelen mede kan bepalen.

Dit betekent dat degene die (mede) verantwoordelijk is voor de verwerking kan worden aangesproken op die bewerking of dat geheel van bewerkingen waarvoor hij het doel en de middelen deelt of mede bepaalt, voor zover het de desbetreffende bewerking betreft. Die persoon kan daarentegen niet aansprakelijk worden gesteld voor eerdere of latere fasen van de gehele verwerkingsketen, ten aanzien waarvan hij niet het doel of de middelen kon bepalen.

Afgaande op de feiten in deze zaak blijken Fashion ID en Facebook Ireland dus mee te beslissen over de middelen en doelen van de gegevensverwerking in de fase waarin de betrokken persoonsgegevens worden verzameld en doorgezonden. Onder voorbehoud van verificatie door de verwijzende rechter lijkt het erop dat zowel Facebook Ireland als Fashion ID de fase waarin de gegevens worden verzameld en doorgezonden, die deel uitmaakt van de gegevensverwerking, vrijwillig mogelijk heeft gemaakt. Ook al zijn hun doelstellingen niet identiek, er bestaat wel een eenheid van doel: er is een commercieel en een reclamedoel (het besluit van Fashion ID om de ,,Vind ik leuk”-knop van Facebook op haar website te plaatsen, lijkt te zijn ingegeven door de wens om de zichtbaarheid van haar producten via het sociale netwerk te verhogen).

Wat de fase van het verzamelen en het doorzenden van de persoonsgegevens betreft, handelt Fashion ID bijgevolg als een onderneming die voor de verwerking verantwoordelijk is en is zij in zoverre samen met Facebook Ireland medeaansprakelijk.

Wat de wettigheid van de verwerking van persoonsgegevens zonder de toestemming van de gebruiker betreft3 , herinnert de advocaat-generaal eraan dat die verwerking met name rechtmatig is wanneer is voldaan aan drie cumulatieve voorwaarden: ten eerste, de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, ten tweede, de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang en, ten derde, de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

In dit verband stelt de advocaat-generaal het Hof voor om vast te stellen dat het gerechtvaardigde belang van beide partijen die gezamenlijk verantwoordelijk zijn voor de verwerking (Fashion ID en Facebook Ireland), in aanmerking moet worden genomen en moet worden afgewogen tegen de rechten van de gebruikers van de website.

De advocaat-generaal stelt tevens voor om voor recht te verklaren dat de gebruiker van de website waar nodig toestemming moet geven aan de beheerder ervan (Fashion ID) die de content van een derde partij heeft opgenomen. Zo ook geldt voor de beheerder van de website (Fashion ID) de verplichting om de gebruiker van de website de vereiste minimuminformatie te verstrekken.

De rechters van het Hof beginnen hierna met de beraadslagingen over het arrest, dat op een latere datum zal worden gewezen. De conclusie van de advocaat-generaal bindt het Hof van Justitie niet. De advocaten-generaal hebben tot taak, in volledige onafhankelijkheid het Hof een juridische oplossing te bieden voor het concrete
geschil.

Dit artikel is ook te vinden in het dossier AVG

bron: Hof van Justitie van de Europese Unie

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Masterclass Privacy: the next step

→ Lees meer

Checklist Privacy AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer