In een arrest van 29 juli 2019 ( C-40/17, Fashion ID GmbH & Co ) heeft het Europees Hof van Justitie geoordeeld dat beheerders van een website met een “vind ik leuk” knop gezamenlijke verwerkingsverantwoordelijken zijn met Facebook .
Bijgevolg moeten zij onder meer met Facebook een regeling treffen om de onderlinge verplichtingen inzake gegevensbescherming vast te leggen. Zij zullen de gebruikers ook zelf moeten informeren en de (in principe) vereiste toestemming moeten verkrijgen.
In deze zaak had een online kledingbedrijf op haar website een “vind ik leuk” knop van Facebook ingevoegd. Persoonsgegevens van gebruikers (IP-adres, browsergegevens en gewenste content) werden hierdoor automatisch doorgegeven aan Facebook, zonder dat zij zich daarvan bewust waren en ongeacht of zij lid waren van Facebook dan wel op de “vind ik leuk” knop hadden geklikt.
Het Hof van Justitie oordeelde dat de onderneming een gezamenlijke verwerkingsverantwoordelijke was in de zin van de wetgeving beschermingswetgeving voor het verzamelen en doorzenden van de gegevens aan Facebook. Zij bepaalde immers mee het doel en de middelen van de verwerking omdat zij de knop zelf had ingevoegd om haar zichtbaarheid en deze van haar producten op het sociale netwerk te vergroten.
Het feit dat de onderneming zelf geen toegang had tot de gegevens was volgens het Hof van Justitie irrelevant. Het Hof benadrukte wel dat zij daarentegen niet verantwoordelijk kon worden geacht voor alle latere verwerkingen door Facebook na doorzending van de gegevens via de “vind ik leuk” knop.
De rol die een onderneming bekleedt onder de wetgeving inzake gegevensbescherming (afzonderlijke verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker) is cruciaal voor haar verplichtingen. De kwalificatie als gezamenlijke verwerkingsverantwoordelijke brengt voor de website beheerder verschillende vereisten met zich mee, zoals onder meer:
- Onderlinge regeling: de website beheerder en Facebook moeten een onderlinge regeling treffen over hun respectieve verantwoordelijkheden, met name inzake de uitoefening van rechten en de informatieverplichting. Het kan worden verwacht Facebook dat in navolging van het arrest van het Hof van Justitie werk zal maken van een template overeenkomst in die zin (zoals zij ook heeft gedaan toen het Hof van Justitie in een eerder arrest oordeelde dat ook beheerders van Facebook-pagina’s gezamenlijke verwerkingsverantwoordelijken zijn).
- Informatieverplichting: de website beheerder zal haar gebruikers uitgebreid moeten informeren over de “vind ik leuk” knop en de gegevensverwerking in dit verband;
- Toestemming: onder de e-Privacy regelgeving lijkt het gebruik van de “vind ik leuk”-knop de expliciete (GDPR-conforme) toestemming van de gebruikers te vereisen, zeker als hiermee gegevens worden doorgegeven van niet-leden van Facebook. Dit is ook het standpunt van de Gegevensbeschermingsautoriteit.
Het Hof van Justitie heeft zich hierover niet uitdrukkelijk uitgesproken, maar benadrukt wel dat een eventuele toestemming moet worden verkregen door de website beheerder (en niet door Facebook) en dit vóór de inzameling of doorgifte van de gegevens.
De impact van het arrest van het Hof van Justitie lijkt zich niet te beperken tot de “vind ik leuk”-knop van Facebook. Dezelfde principes kunnen o.i. worden toegepast op alle toepassingen (plug-ins, widgets etc.) van derde partijen op een website, voor zover de website beheerder mee de middelen en het doel van de verwerking bepaalt.
Actiepunt
“Third-party check”
Beheerders van websites of andere online diensten (bv. apps) moeten nagaan:
- welke externe toepassingen van derde partijen hierin zijn geïntegreerd;
- welke rol zij vervullen ten aanzien van de betrokken derden partijen en of zij met deze laatsten een onderlinge regeling moeten treffen;
- of zij alle andere regels inzake gegevensbescherming correct naleven, met name of zij de gebruikers correct informeren over de verwerking van hun persoonsgegevens en of zij (voor zover vereist) een GDPR-conforme toestemming vragen vóór de verwerking.
