Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…
Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.
(Mede)verantwoordelijkheid
Een verantwoordelijke is een natuurlijk persoon, onderneming of instantie die het doel van en de middelen voor de gegevensverwerking vaststelt. Facebook – net als veel andere sociale netwerken – verdienen geld door het tonen van gepersonaliseerde advertenties (het doel). De hiervoor benodigde persoonsgegevens worden hoofdzakelijk verzameld via cookies (de middelen). Facebook is daardoor als verantwoordelijke te beschouwen.
Is daarmee de kous af? Helaas niet. Het is namelijk mogelijk dat er twee of meer partijen samen verantwoordelijk zijn voor dezelfde verwerking van persoonsgegevens. De vraag is dus of de beheerder van de fanpagina bijdraagt aan de verwerking van persoonsgegevens over bezoekers op zijn fanpagina.
Bij het aanmaken van de pagina moet de beheerder het cookiebeleid van Facebook accepteren. De beheerder biedt Facebook daarmee de mogelijkheid cookies te plaatsen op de apparaten van bezoekers (de middelen).
Daarnaast moet de beheerder keuzes maken over bepaalde instellingen, onder andere over het publiek en de doelstellingen voor het beheer of de promotie van de activiteiten. Aan de hand van de geselecteerde instellingen en dankzij de verwerking van persoonsgegevens worden statistieken gegenereerd (het doel). De beheerder kan op verzoek ook demografische gegevens van de bezoekers op zijn pagina ontvangen en op basis daarvan advertenties en promoties toespitsen.
In aanvulling op de gegevensverwerkingen door Facebook, bepaalt een beheerder dus in (beperkte) mate voor welk doel bepaalde persoonsgegevens van zijn bezoekers verwerkt worden. Een beheerder wordt daarmee als medeverantwoordelijk voor de verwerking van de persoonsgegevens beschouwd.
Omvang medeverantwoordelijkheid
Zijn Facebook en de beheerder dan voor gelijke delen verantwoordelijke? Fanpagina’s op Facebook kunnen ook worden bezocht door bezoekers die geen Facebookaccount hebben. In dat geval is de verantwoordelijkheid van de beheerder groter, omdat het bezoeken van de pagina direct leidt tot het plaatsen van cookies door Facebook en dus tot verwerking van hun persoonsgegevens. Een gedeelde verantwoordelijkheid is niet onlogisch. In een andere constructie kan de beheerder zich onttrekken aan de regels die voor gegevensbescherming gelden. Dat zou tot ongewenste gevolgen voor betrokkenen kunnen leiden.
Gedeelde verantwoordelijkheid staat echter niet per definitie gelijk aan gelijkwaardige verantwoordelijkheid. Het niveau van verantwoordelijkheid moet daarom bepaald worden aan de hand van verschillende factoren, zoals de mate van invloed op de verwerking en het stadium waarin de verwerking plaatsvindt.
Gevolgen
Hoewel deze uitspraak is gedaan op grond van de inmiddels vervallen richtlijn gegevensbescherming (Richtlijn 95/46/EG), speelt deze kwestie ook onder de huidige Algemene Verordening Gegevensbescherming (AVG). Voor een verantwoordelijke gelden uiteenlopende verplichtingen. Artikel 26 AVG verlangt bijvoorbeeld dat de gezamenlijk verantwoordelijken hun onderlinge verantwoordelijkheden vastleggen. Dit is in het geval van een groot sociaal netwerk lastig te bewerkstelligen. Daarom is het voor een beheerder van een (fan)pagina van belang na te gaan of hij bijdraagt aan het doel van de verwerking van persoonsgegevens. Als dat het geval is, stel dan een privacy- en cookiestatement op en publiceer die op je (fan)pagina.
Daarnaast kan een betrokkene bij uitoefening van zijn rechten of wanneer schade is veroorzaakt door de verwerking van zijn persoonsgegevens, richten tot iedere verantwoordelijke. Hoewel de AVG de mogelijkheid biedt onder omstandigheden (bijvoorbeeld bij een datalek bij de andere verantwoordelijke) onderling de schade te verrekenen, is dat bij een groot sociaal netwerk als Facebook makkelijker gezegd dan gedaan.
Tot slot kan de Autoriteit Persoonsgegevens elke verantwoordelijke aanspreken op zijn verplichtingen en aanspreken op nakoming daarvan. In praktijk zal dit tot een hoop werk leiden omdat er in elk afzonderlijk geval onderzocht moet worden wat eenieders aandeel in de verantwoordelijkheid is.
De uitspraak bevestigt dat het bij medeverantwoordelijkheid voor de verwerking van persoonsgegevens van belang is duidelijke contractuele afspraken te maken. Als de andere medeverantwoordelijke daar geen medewerking aan verleent, zorg dan in ieder geval dat je al het mogelijke hebt gedaan om jouw verplichtingen in de AVG na te komen.
