Gezamenlijke verantwoordelijke, of je het nu Leuk vindt of niet...

Author info

Gebruikt u een van de Facebook-plugins, zoals de 'Vind ik leuk'-knop, op uw website? Dan bent u misschien een gezamenlijke verwerkingsverantwoordelijke met Facebook. Dit vloeit voort uit een recent arrest van het Hof van Justitie van de Europese Unie ("HvJ-EU") in het arrest Fashion ID (C-40/17).

De 'Vind ik leuk'-knop maakt een inbreuk op de privacy

De zaak werd aangespannen door een consumentenvereniging tegen een kledingwinkel die de Facebook 'Vind ik leuk'-knop op haar website gebruikte.

Het gebruik van een dergelijke plugin creëert een verbinding tussen de website van de kledingwinkel en Facebook. In dit specifieke geval betekende dit ook dat het IP-adres en de browserstring van gewone websitebezoekers automatisch naar Facebook werden doorgestuurd. Dit gebeurde ongeacht of de bezoeker van de website op deze knop klikt, ongeacht of die persoon zijn of haar toestemming heeft gegeven en zelfs ongeacht of hij of zij is ingelogd op Facebook. Daarnaast werden er door Facebook cookies (sessie-, datr- en fr-cookies) op het apparaat van de bezoeker geplaatst.

Het Hof van Justitie van de Europese Unie heeft in zijn arrest van 29 juli 2019 (hier) belangrijke verduidelijkingen gegeven over deze praktijk van gegevensverzameling.

De gezamenlijke verwerkingsverantwoordelijke

In het kader van de AVG beslist een "verwerkingsverantwoordelijke" over het doel van en de middelen voor de verwerking van persoonsgegevens. Het Hof van Justitie heeft eerder verduidelijkt dat de verantwoordelijke niet noodzakelijkerwijs tot één persoon beperkt is. Zelfs de beheerder van een fanpagina op Facebook is samen met Facebook verantwoordelijk voor de verwerking van persoonsgegevens van bezoekers (C-210/16). Het is dan ook niet verwonderlijk dat het Hof van Justitie ook hier de beheerder van de website als een gezamenlijke verwerkingsverantwoordelijke beschouwt.

In het voorliggende geval lijkt het Hof van Justitie zich voornamelijk op twee aspecten te concentreren:

  1. het feit dat de kledingwinkel een beslissende invloed heeft gehad op de verwerking van de persoonsgegevens, en
  2. de eigen economische voordelen van het gebruik van de plugin.

De beslissende invloed zou voortvloeien uit de keuze van de beheerder van de website om de plugin te installeren en zo de doorgifte van persoonsgegevens aan Facebook mogelijk te maken. De economische voordelen moeten eenvoudigweg worden beschouwd als de publiciteit die de kledingwinkel op sociale media zou kunnen krijgen door gebruik te maken van een dergelijke plugin.

Het feit dat de kledingwinkel geen invloed heeft op het gebruik van de gegevens door Facebook en zelfs geen toegang had tot de betrokken persoonsgegevens, was voor het Hof van Justitie irrelevant. Met andere woorden, de uitspraak geeft aan dat de beheerder van de website en Facebook als aanbieder van de plugin als gezamenlijke verantwoordelijken worden beschouwd. Dit kan ook van toepassing zijn op plugins die vergelijkbaar zijn met die van Facebook (d.w.z. alle plugins die persoonsgegevens verzamelen en/of verzenden).

De zaak roept ook een aantal vragen op. In het kader van de AVG moeten de gezamenlijke verantwoordelijken een regeling treffen over wie welke verplichtingen zal uitvoeren en dit moet transparant zijn voor het publiek. Gezien het grote aantal websitebeheerders dat plugins gebruikt, zal een groot aantal van hen een dergelijke regeling moeten treffen met Facebook of andere aanbieders van plugins. Om praktische redenen is het waarschijnlijker dat deze laatste een standaardregeling zal opstellen. Net als na het Wirtschaftsakademie-arrest (C-210/16) toen een Joint Controller Addendum werd opgesteld door Facebook.

Tot op heden is er geen officiële reactie van Facebook op het Fashion ID arrest.

De verwerkingsketen

Uit dit geval blijkt ook dat twee afzonderlijke verwerkingen van persoonsgegevens kunnen worden beschouwd als een "keten" van verwerkingen die met elkaar verbonden zijn in het geval dat gegevens van de ene verantwoordelijke aan de andere worden doorgegeven. Maar wat zijn de gevolgen als deze verwerkingsactiviteiten niet langer afzonderlijk worden beschouwd? Gelukkig heeft het Hof van Justitie verduidelijkt dat de beheerder van de website alleen verantwoordelijk is voor het verzamelen en doorgeven van gegevens op zijn eigen website. De kledingwinkel kan in dit geval dan ook niet verantwoordelijk worden gesteld voor de verwerking van persoonsgegevens door Facebook.

Gevolgen en aanbevelingen

De eventuele kwalificatie als gezamenlijke verwerkingsverantwoordelijke brengt een aantal verplichtingen en andere gevolgen met zich mee voor websites die gebruik maken van plugins:

  1. Verplichting tot informatieverstrekking aan bezoekers van de website: de beheerder van de website moet zijn bezoekers informeren over de verzameling en overdracht van persoonsgegevens aan de aanbieder van de plugin.
  2. Verplichting tot het verkrijgen van voorafgaande toestemming: de websitebeheerder dient vooraf toestemming te verkrijgen met betrekking tot de verwerkingsactiviteiten waarvoor de hij als verantwoordelijke voor de verwerking optreedt.
  3. Regeling tussen de gezamenlijke verantwoordelijken: in het kader van het AVG zijn de gezamenlijke verantwoordelijken verplicht om af te spreken wie welke verplichtingen zal uitvoeren. Dit systeem moet een afspiegeling zijn van de rol en de relatie van de gezamenlijke verantwoordelijken ten opzichte van de betrokkenen en moet ook toegankelijk worden gemaakt. Het valt echter nog te bezien hoe dit in de praktijk zal worden uitgevoerd.
  4. Aansprakelijkheid en boetes: tot op heden is er nog geen boete opgelegd in een zaak waarbij een gezamenlijke verantwoordelijke betrokken is. Er moet echter rekening mee worden gehouden dat er al boetes zijn opgelegd wanneer bepaalde beginselen inzake gegevensbescherming, zoals de informatieplicht, zijn geschonden. Naar aanleiding van het arrest is de gezamenlijke verantwoordelijke verantwoordelijk voor "de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt". Dit betekent dat bij niet-naleving van de bepaling van de AVG boetes kunnen worden opgelegd. De websitebeheerder die zijn bezoekers niet informeert over het verzamelen en doorgeven van hun persoonsgegevens, kan worden geconfronteerd met boetes in het kader van de AVG.

Bovendien, en zoals uitgelegd, legt artikel 26 van de AVG de gezamenlijke verantwoordelijken de verplichting op om een regeling te treffen. De niet-nakoming ervan kan leiden tot administratieve geldboetes van maximaal 10 miljoen EUR of, in het geval van een onderneming, tot 2% van haar totale wereldwijde jaaromzet in het voorafgaande boekjaar. Het is dus mogelijk dat het niet hebben van een dergelijke regeling kan leiden tot het opleggen van een boete.

Opmerking

In de bovengenoemde Fashion ID zaak werd beslist op basis van de begrippen uit de Europese richtlijn voor gegevensbescherming 95/46. Aangezien de AVG in de plaats is gekomen van die richtlijn en dezelfde definities en beginselen bevat, kan deze uitspraak ook worden toegepast op de bepaling in de AVG, en meer in het bijzonder op het begrip "verwerkingsverantwoordelijke".