Blog

Beheerder van Facebookpagina is verantwoordelijk voor verwerking van persoonsgegevens

Het Europese Hof van Justitie heeft vorige week bepaald dat een beheerder van Facebookpagina medeverantwoordelijk is voor de verwerking van persoonsgegevens op haar pagina.

De feiten van de zaak waren als volgt. Een Duitse toezichthouder op de bescherming van persoonsgegevens (het ULD) heeft de beheerder van een fanpagina op Facebook (de Wirtschaftsakademie) bevolen haar fanpagina te deactiveren. De beheerder zou de bezoekers van de fanpagina niet op de hoogte brengen van het feit dat Facebook door middel van cookies persoonsgegevens van hen verwerkt.

De beheerder maakt hiertegen bezwaar door aan te voeren dat zij niet verantwoordelijk is voor de gegevensverwerking door Facebook en het gebruik van de cookies door Facebook.

Het ULD wijst het bezwaar van de beheerder van de fanpagina af. Tegen dat besluit tekent de beheerder beroep aan. Uiteindelijk komt de zaak bij de hoogste federale bestuursrechter in Duitsland, en die besluit om prejudiciële vragen aan het Europese Hof van Justitie te stellen.

De uitspraak van het Hof heeft betrekking op de Europese richtlijn waarop de Wet bescherming persoonsgegevens (Wbp) was gebaseerd. Inmiddels is deze wet natuurlijk vervangen door de Algemene Verordening Gegevensbescherming (AVG). Toch blijft deze uitspraak ook onder de AVG van betekenis. De definities waarop de uitspraak ziet, hebben onder de AVG namelijk inhoudelijk dezelfde betekenis.

Fanpagina

Allereerst wordt in het arrest een definitie van een fanpagina gegeven:

“Fanpagina’s zijn gebruikersaccounts die op Facebook door particulieren of bedrijven kunnen worden geconfigureerd. Hiertoe kan de auteur van de fanpagina, na registratie bij Facebook, gebruikmaken van het door laatstgenoemde ingerichte platform om zich te presenteren aan de gebruikers van dit sociale netwerk en aan personen die de fanpagina bezoeken, en om allerlei soorten berichten te plaatsen op de markt voor media en opinie. Beheerders van fanpagina’s kunnen met behulp van de tool met de naam Facebook Insights, die Facebook onder vaste gebruiksvoorwaarden gratis aan hen ter beschikking stelt, anonieme statistieken over de bezoekers van deze pagina’s verkrijgen. Deze gegevens worden verzameld via tekstbestandjes (cookies) die elk een unieke gebruikerscode bevatten, twee jaar actief zijn en door Facebook op de harde schijf van de computer of op iedere andere drager van de bezoekers van de fanpagina worden opgeslagen. De gebruikerscode, die kan worden gelinkt aan de verbindingsgegevens van de gebruikers die op Facebook zijn geregistreerd, wordt verkregen en verwerkt op het moment dat de fanpagina’s worden geopend.”

Verwerking van persoonsgegevens

Door op fanpagina’s gebruik te maken van de tool Facebook Insights die door Facebook onder bepaalde gebruiksvoorwaarden wordt aangeboden, worden cookies geplaatst op de harde schijf van de bezoekers van die fanpagina. Daarmee worden verschillende gegevens verzameld over de bezoekers, waarop Facebook haar advertentiebeleid kan aanpassen en de beheerder een profiel van de bezoekers kan krijgen en daarop bijvoorbeeld kan inspelen met promoties.

Een van de vragen die door de Duitse rechter aan het Hof van Justitie wordt gesteld, is of de beheerder verantwoordelijk is voor die verwerking van persoonsgegevens op de fanpagina, en daarom de bezoekers (had) moet(en) informeren over het gebruik van cookies.

Is de beheerder verantwoordelijk?

Ruime uitleg

Het Hof stelt daartoe allereerst vast dat de privacywetgeving beoogt een hoog niveau van bescherming van het privéleven van betrokkenen te waarborgen. Het verwijst daarbij naar eerder door haar gewezen rechtspraak. In dat kader dient het begrip “voor de verwerking verantwoordelijke” (onder de AVG: “verwerkingsverantwoordelijke”) ruim te worden uitgelegd om zo een “doeltreffende en volledige bescherming van betrokkenen” te verzekeren.

Meerdere verwerkingsverantwoordelijken mogelijk

Vervolgens oordeelt het Hof dat niet altijd sprake is van maar één verwerkingsverantwoordelijke. Het is mogelijk dat meerdere partijen samen verantwoordelijk zijn voor de verwerking, omdat zij samen het doel en de middelen van de verwerking vaststellen. In dat geval zijn deze partijen gezamenlijk verwerkingsverantwoordelijke.

Beheerder heeft invloed op het doel en de middelen van de verwerking

Iedereen die een fanpagina op Facebook wil aanmaken sluit daarbij een overeenkomst met Facebook, en stemt daarbij in met de gebruiksvoorwaarden van Facebook Insights en het cookiebeleid.

De beheerder bepaalt vervolgens de instellingen van de pagina, waarbij een doel en doelpubliek moet worden aangegeven. Ook kan de beheerder door middel van filters criteria vaststellen aan de hand waarvan statistieken over bezoekers worden verzameld, en kan zij daarmee categorieën van personen aanwijzen van wie gegevens worden verwerkt.

rechtspraak

Het Hof bepaalt dat de beheerder daarmee mede bepaalt welke gegevens door Facebook worden verzameld. Volgens het Hof is de beheerder dus mede verantwoordelijk voor de verwerking van de gegevens.

Het doet er volgens het Hof niet toe dat de door de beheerder ontvangen statistieken geanonimiseerd zijn. Het is volgens het Hof namelijk niet vereist dat iedere verantwoordelijke ook echt toegang heeft tot de betrokken persoonsgegevens.

Geen gelijkwaardige verantwoordelijkheid

Wel merkt het Hof op dat het feit dat er meerdere voor de verwerking verantwoordelijken zijn niet per definitie betekent dat deze een gelijkwaardige verantwoordelijkheid hebben. Afhankelijk van de omstandigheden van het geval kan het zo zijn dat een verantwoordelijke meer verantwoordelijk is voor de verwerking, dan een andere verantwoordelijke.

Gevolgen?

Zoals in de inleiding aangegeven, behoudt deze uitspraak haar betekenis onder de AVG. Deze uitspraak betekent dat beheerders van fanpagina’s op Facebook haar bezoekers moeten informeren over het gebruik van cookies. Maar ook bijvoorbeeld dat betrokkenen hun rechten onder de AVG kunnen uitoefenen tegenover de beheerder van zo een fanpagina. Denk hierbij aan het recht om te worden vergeten of het recht om gegevens in te zien.

Gerelateerde berichten