Gezamenlijk verantwoordelijk met Facebook, moet u dat wel willen?

Verhalen uit de praktijk

Afgelopen week heeft het Hof van Justitie van de Europese Unie (HvJ-EU) een prejudiciële beslissing genomen die belangrijk is voor beheerders van een website. De beslissing is genomen op verzoek van het het Oberlandesgericht Düsseldorf (hoogste rechterlijke instantie van de deelstaat Noordrijn-Westfalen, Düsseldorf, Duitsland) in de procedure van de online kledingwinkel Fashion ID & Co. KG (hierna: “Fashion ID”) tegen consumentenorganisatie Verbraucherzentrale NRW in de tegenwoordigheid van Facebook en de functionaris gegevensbescherming voor de federale staat Noordrijn-Westfalen. In het arrest wordt plaatsen van een social plug-in van een externe partij op een website besproken. Wat betekent het plaatsen van een dergelijke plug-in voor de verantwoordelijkheid van de beheerder van de website en de eigenaar van de plug-in?

Fashion ID heeft op haar website de plug-in “vind-ik-leuk” van Facebook geplaatst. Deze plug-in linkt door naar de website van Facebook. Wanneer op de plug-in wordt geklikt, wordt allerlei technische informatie over de gebruiker van de website naar Facebook gestuurd. Het probleem is dat de gegevens worden doorgezonden zonder dat de bezoekers zich daarvan bewust zijn en ongeacht of zij al dan niet lid zijn van Facebook. Ook is de beheerder van de website die de plug-in plaatst niet altijd op de hoogte van welke gegevens gedeeld worden en ook niet wat Facebook met deze gegevens doet. Verbraucherzentrale NRW is van mening dat het doorzenden van persoonsgegevens in deze situatie in strijd is met de verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG),  omdat de gebruikers zich niet bewust zijn van het doorsturen van persoonsgegevens. Het Oberlandesgericht Düsseldorf is het daarmee eens.

Fashion ID heeft tegen deze beslissing hoger beroep ingesteld omdat zij van mening is dat zij geen verwerkersverantwoordelijke zijn omdat zij geen invloed uitoefent op de doorgezonden gegevens. Ook zou Verbraucherzentrale NRW niet-ontvankelijk verklaard moeten worden vanwege het ontbreken van procesbevoegdheid. Het Oberlandesgericht Düsseldorf heeft als reactie daarop de zaak geschorst en het HvJ-EU om verduidelijking gevraagd.

Behartiging van consumentenbelangen

Het Hof begint met zich uit te laten over het procesbelang van de vereniging. De oude richtlijn voorziet in de mogelijkheid dat verenigingen die consumentenbelangen behartigen, het recht wordt verleend om op te treden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens. Dit geldt ook voor de AVG. De vereniging mag hier dus als vertegenwoordiger van haar belanghebbenden zelfstandig procedures starten.

Verantwoordelijkheid voor de persoonsgegevens in kwestie

Volgens het Hof is Fashion ID samen met Facebook verantwoordelijk voor de verzameling van de gegevens en de doorzending ervan aan Facebook - aangezien Fashion ID en Facebook samen het doel van deze verrichtingen en de middelen ervoor vaststellen. Fashion ID moet voor deze verwerkingen dan bepaalde informatie aan de betrokkenen verstrekken, bijvoorbeeld het doel van deze verwerking. Ook dient Fashion ID toestemming te krijgen voor het verzamelen en doorzenden van de gegevens.

Daarentegen is Fashion ID niet verantwoordelijk voor de verwerkingen door Facebook, nadat de gegevens zijn doorgezonden. Dan stelt Fashion ID namelijk niet meer het doel en middelen vast.

Verwerking van persoonsgegevens voor de behartiging van een gerechtvaardigd belang

Er is betoogd dat er een gerechtvaardigd belang geldt. Het Hof noemt dat de beheerder van de website en de externe partij van de plug-in voor elke verwerking met het verzamelen en doorzenden van persoonsgegevens een gerechtvaardigd belang moet dienen om met deze grondslag de handelingen te kunnen rechtvaardigen.

De vraag is natuurlijk of u verantwoordelijk voor de verwerkingen van persoonsgegevens wil zijn, samen met een externe partij als Facebook. Het Hof geeft geen invulling aan de relatie tussen de beheerder van de website en de externe partij van de plug-in. Het is verstandig om zelf goed te weten wat er aan verwerkingen plaatsvindt en deze af te dichten met een verwerkersovereenkomst, om duidelijk te hebben waarvoor u en de andere partij aansprakelijk zijn. Benoem hoe lang en met welk doel de persoonsgegevens bewaard worden en neem dit ook over in uw register van verwerkingen om blijvend te voldoen aan de vereisten van de AVG.  Door een goed overzicht te bij te houden verkleint u de kans op fouten.

Echter is het onwaarschijnlijk dat een tech-gigant als Facebook met iedere beheerder van een website die een vind-ik-leuk knop wil plaatsen een verwerkersovereenkomst zal sluiten. U moet uzelf dan de volgende vraag stellen: weegt het voordeel van het plaatsen van een externe plug-in op tegen de verantwoordelijkheid die u draagt ten behoeve van het verzamelen en doorsturen van persoonsgegevens?

Geplaatst 30-07-19

Ashley Moes
Privacy Professional
Ashley Moes houdt zich als Privacy Professional bezig met het introduceren van Privacy Control Center (PCC) bij nieuwe organisaties en helpt hen met de implementatie van de Algemene Verordening Gegevensbescherming. Vanuit haar juridische achtergrond vertaalt zij de soms lastige privacyvraagstukken naar heldere en concrete adviezen voor de klanten van PCC.

Heeft u nog vragen?

Heeft u vragen over inhoudelijke ondersteuning bij de organisatie van uw activiteiten rondom de verwerking en bescherming van persoonsgegevens?

Probeer Privacy Control Center gratis

Start uw proefabonnement en bekijk zelf de mogelijkheden.