Gezamenlijk verantwoordelijk met Facebook, (hoe) moet u dat wel willen?

Verhalen uit de AVG-praktijk

Afgelopen week heeft het Hof van Justitie van de Europese Unie (HvJ-EU) een prejudiciële beslissing genomen die belangrijk is voor beheerders van websites. De beslissing is genomen op verzoek van het het Oberlandesgericht Düsseldorf (Duitsland) in de procedure van de online kledingwinkel Fashion ID & Co. KG (hierna: “Fashion ID”) tegen consumentenorganisatie Verbraucherzentrale NRW. In het arrest wordt het plaatsen van een social plug-in van een externe partij op een website besproken. Wat betekent het plaatsen van een dergelijke plug-in voor de verantwoordelijkheid van de beheerder van de website en de eigenaar van de plug-in?

Fashion ID heeft op haar website de plug-in “vind-ik-leuk” van Facebook geplaatst. Deze plug-in linkt door naar de website van Facebook. Wanneer de plug-in wordt getoond of geklikt, wordt een aanzienlijke hoeveelheid technische informatie over de bezoeker van de website naar Facebook gestuurd. Het probleem is dat de gegevens worden doorgezonden zonder dat deze bezoeker zich daarvan bewust is en ook ongeacht of hij/zij lid is van Facebook. De beheerder van de website, die de plug-in plaatst, is niet op de hoogte van welke gegevens gedeeld worden en ook niet wat Facebook met deze gegevens doet. Verbraucherzentrale NRW is van mening dat het op deze manier doorzenden van persoonsgegevens in strijd is met de verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG). Het Oberlandesgericht Düsseldorf is het daarmee eens.

Fashion ID heeft tegen deze beslissing hoger beroep ingesteld omdat zij van mening is dat zij geen verwerkersverantwoordelijke zijn - omdat ze geen invloed hebben op de doorgezonden gegevens. Ook zou Verbraucherzentrale NRW niet-ontvankelijk verklaard moeten worden omdat ze niet bevoegd zijn om op eigen initiatief procedures te starten. Het Oberlandesgericht Düsseldorf heeft als reactie daarop de zaak geschorst en het HvJ-EU om verduidelijking gevraagd.

Behartiging van consumentenbelangen

Het Hof bespreekt in het begin van het arrest het procesbelang van de vereniging. De oude richtlijn (de procedure was gestart vóór de inwerkingtreding van AVG) voorziet in de mogelijkheid dat verenigingen die consumentenbelangen behartigen, het recht wordt verleend om op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens. Dit recht hebben ze ook op basis van de AVG. Een vereniging kan dus zelfstandig als vertegenwoordiger van haar belanghebbenden procedures starten.

Verantwoordelijkheid voor de persoonsgegevens in kwestie

Volgens het Hof is Fashion ID samen met Facebook verantwoordelijk voor het verzamelen van de gegevens en het doorzenden van de gegevens aan Facebook - omdat Fashion ID en Facebook samen het doel van deze verrichtingen en de middelen ervoor vaststellen. Fashion ID is dan gehouden de betrokkenen op de juiste manier te informeren. Ook dient Fashion ID toestemming te krijgen voor het verzamelen en doorzenden van de gegevens, omdat hier geen sprake is van een overeenkomst of andere wettelijke grondslag.

Daarentegen is Fashion ID niet verantwoordelijk voor de verwerkingen door Facebook, nadat de gegevens zijn doorgezonden. Dan stelt Fashion ID namelijk niet meer het doel en middelen vast.

Gerechtvaardigd belang voor deze verwerking

Er is betoogd dat er een gerechtvaardigd belang geldt. Het Hof noemt dat de beheerder van de website en de externe partij van de plug-in voor elke verwerking van elk gegeven het gerechtvaardigd belang moet kunnen aantonen om met deze grondslag de handelingen te kunnen rechtvaardigen. Dat is hier niet voldoende aannemelijk.

Gezamenlijk verantwoordelijk met Facebook

De vraag is natuurlijk of u gezamenlijk verantwoordelijk wilt zijn voor de verwerkingen van persoonsgegevens met een externe partij als Facebook. Het Hof geeft in ieder geval duidelijk aan dat alle wettelijke eisen zoals de grondslag (hier: toestemming!), de doelbinding en het informeren van bezoekers onverminderd gelden, ook bij - op het oog simpele - koppelingen met een plugin. Het is als beheerder dan ook van belang dat álle verwerkingen van persoonsgegevens en uitwisselingen met derden goed in beeld zijn en dat daarbij ook alle aspecten voor bescherming goed worden vastgelegd. Denkt u bijvoorbeeld ook aan het beperken van gegevens (heb ik deze echt nodig?) en de bewaartermijnen (wie bewaart welke gegevens hoe lang?). Het is verstandig om onderlinge verantwoordelijkheden als deze af te dichten met een verwerkersovereenkomst, om duidelijk te hebben waarvoor u en de andere partij aansprakelijk zijn.

Is het plaatsen van een Facebook like-knop strijdig met de AVG?

Uit bovenstaande blijkt dat het integreren van plugins zeker niet zonder risico is en het gebruik zal daarom steeds getoetst moeten worden. Daarentegen vergemakkelijkt een duidelijke structuur en een vertrouwd proces voor het vastleggen en controleren van wettelijke randvoorwaarden het beheer een complexe ict- dienstverlening. Zo kunt u zich gerust concentreren op het primaire proces.

Door: Ashley Moes

Ashley Moes is privacy professional bij Privacy Control Center.

Geplaatst: 30-07-2019.




Heeft u vragen over inhoudelijke ondersteuning bij de organisatie van uw activiteiten rondom de verwerking en bescherming van persoonsgegevens?

Bel ons (071 - 820 03 63) Mail ons

Nu gratis proberen

Vul uw e-mailadres in om uw proefabonnement te activeren.

Volg het gratis webinar: PCC ipv Excel

Twee keer per week organiseert Privacy Control Center een gratis webinar. Het webinar duurt ongeveer 40 minuten en is gericht op het inrichten van AVG-beheer in de praktijk.

In dit webinar leert u:

  • Hoe positioneer ik AVG-management binnen de organisatie?
  • Hoe richt ik mijn registers in en onderhoud ik ze?
  • Hoe werk ik risicogestuurd volgens de PDCA methode?
  • Hoe bepaal ik de agenda voor efficiënt toezicht?
  • Welke rapportages kan ik genereren?

Het webinar is geschikt voor:

  • Functionaris Gegevensbescherming (FG/DPO)
  • Privacy Officers en Privacy Coördinatoren
  • Leden van een AVG-taskforce
  • AVG-adviseurs
  • ICT-managers

Informatie

Het webinar wordt gegeven op

  • maandagavond (20:30 uur)
  • donderdagmiddag (13:00)

De persoonsgegevens die u met deze aanmelding verstrekt, worden alleen gebruikt ten behoeve van het gratis webinar. Na het volgen van het webinar worden de gegevens van uw aanmelding binnen twee weken verwijderd.

Aanmelden