Het Hof van Justitie van de EU heeft op 29 juli 2019 geoordeeld dat wie een Facebook Like button op de website plaatst, daarmee medeverantwoordelijk is voor de daardoor veroorzaakte verwerking van persoonsgegevens. Het Hof zet daarmee de bestaande lijn voort.
De kwestie
In deze kwestie spelen verschillende juridisch-technische vragen. In deze blog sta ik slechts stil de voor de praktijk meest relevante: is een websitebeheerder aansprakelijk voor de verwerking van persoonsgegevens die het gevolg is van het plaatsen (embedden?) van een Facebook like button op zijn website en wat betekent dit dan?
De kwestie speelt nog onder de privacyrichtlijn, maar ik verwacht niet dat deze onder de AVG anders zou uitpakken.
Hof: begrip verantwoordelijke ruim uitleggen, invloed uitoefenen al voldoende
Het begint met de vaststelling dat het doel van de privacyrichtlijn is een ruime bescherming te bieden. Het begrip 'verantwoordelijke' moet gelet op dat doel ruim worden uitgelegd (r/o 66).
Het Hof brengt in herinnering dat de verantwoordelijke niet per se 1 partij hoeft te zijn (r/o 67), dat iedere partij die "deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking" kwalificeert als verantwoordelijke (r/o 68), zelfs als niet iedere partij toegang heeft tot de persoonsgegevens (r/o 69). Dat betekent echter niet dat alle partijen in gelijke mate aansprakelijk zijn (r/o 70).
Dit alles is herhaling van de eerdere arresten Wirtschatsakademie en Jehova-getuigen, waarover wij al eerder blogden. De conclusie was toen: je kwalificeert als partij al heel snel als verwerkingsverantwoordelijke (lees: je moet je houden aan privacyrecht), maar in welke mate je dan aansprakelijk bent moet vervolgens nog maar worden bezien.
Hof: voor aansprakelijkheid vaststelling doel en middelen vereist
Het Hof lijkt vervolgens de aansprakelijkheidsregel verder in te vullen.
Het Hof wijst er op dat een verwerking kan bestaan uit een of meerdere bewerkingen, die betrekking hebben op verschillende fasen waarin een verwerking kan plaatsen (r/o 72).
Een partij kan alleen (ik neem aan per fase) gezamenlijk aansprakelijk zijn "wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen vaststelt" (r/o 74). Er bestaat geen aansprakelijkheid voor "bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt" (r/o 74).
Hof: lijkt erop dat de websitehouder geen invloed heeft op verwerkingen door Facebook
Het Hof vervolgt met de constatering dat de websitehouder er weliswaar voor gekozen heeft de knop op de site te plaatsen, en daarmee bepaalde verwerkingen van persoonsgegevens veroorzaakt, maar dat het er niet op lijkt dat de websitehouder enige invloed heeft op wat Facebook daarna verder met die verzamelde gegevens doet (r/o 76).
In r/o 78 is het Hof nog concreter, door te overwegen dat de websitehouder en Facebook gezamenlijk verantwoordelijk zijn voor "het verzamelen en doorzenden van die gegevens" die middels de Facebook like button worden verwerkt.
In r/o 83 merkt het Hof nog op dat de verantwoordelijkheid van de websitehouder jegens niet-Facebook leden "nog groter" is dan jegens Facebook-leden. Het lijkt er haast op dat het Hof hiermee een soort van 'geen belang, geen actie'-achtige regel formuleert. Of de opmerking is moet worden gezien in het licht van de belangenafweging uit hoofde van het gerechtvaardigd belang.
Hof: cookieregelgeving en privacyregelgeving bestaan naast elkaar
De verwijzende rechter had ook vragen gesteld over hoe om te gaan met "het gerechtvaardigd belang". De Europese Commissie had er op gewezen dat dit niet relevant zou zijn, omdat de cookieregels hier uitputtend zouden gelden (r/o 88).
Het Hof wijst er echter op dat indien in/met een cookie persoonsgegevens worden verwerkt, beide regelgevende kaders van toepassing zijn (r/o 91). Goed om te zien dat deze discussie nu op het hoogste niveau is beslecht.
Hof: gezamenlijk verantwoordelijken moeten allemaal gerechtvaardigd belang hebben
Het Hof wijst er op ook dat nu is vastgesteld dat zowel Facebook als de websitehouder gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens door de Facebook like knop, zij ieder voor zich een gerechtvaardigd belang moeten hebben voor die verwerking (r/o 96).
Het Hof laat zich niet uit over de vraag of de belangen in dit geval gerechtvaardigd zijn.
Hof: alleen transparant zijn over onderdeel verwerking waarvoor je verantwoordelijk bent
Het Hof vervolgt met soortgelijke overwegingen bij transparantie als bij aansprakelijkheid: een verantwoordelijke hoeft alleen transparant te zijn over "de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt" (r/o 100).
Met andere woorden: een websitebeheerder moet wel informeren over de verwerkingen die het directe gevolg zijn van het plaatsen van de like-button, maar niet over "verwerking van persoonsgegevens in fasen die voorafgaan aan of volgen op de bovengenoemde bewerkingen" (r/o 101).
Wel moet de websitehouder de informatie al op het moment van gegevensverzameling verstrekken (r/o 104). Dat is voor de praktijk best een uitdaging wanneer je zo'n knop op de site hebt staan. De knop wordt immers meegeladen met de website.
Hof: websitebeheerder moet toestemming vragen, niet Facebook, maar alleen eigen deel
De vraag is ook nog aan welke partij het is om toestemming te vragen, voor het geval toestemming vereist is.
Het is volgens het Hof aan de websitebeheerder om toestemming te vragen. Het is immers de websitebeheerder die er primair voor zorgt dat de like-button op zijn site staat (r/o 102).
De toestemming die hij vraagt ziet dan ook slechts op de verwerkingen die het directe gevolg zijn van die verwerkingen, niet latere verwerkingen (door Facebook).
Dat laatste impliceert, lijkt mij, een belangrijke beperking van de manoeuvreerruimte voor Facebook. Facebook zal dan immers al snel hetzij zelf toestemming moeten vragen, hetzij zelf moeten kunnen verantwoorden dat zij een gerechtvaardigd belang heeft de gegevens te verwerken. Dat zal met name bij niet-leden naar mijn inschatting lastig zijn.
Tegelijkertijd lijkt mij dat er niets aan in de weg staat om namens een andere partij om toestemming te vragen. In de praktijk zouden we dus wel eens vaker privacyvolmachten e.d. kunnen gaan zien opkomen. Het wordt interessant om te zien hoe de Autoriteit Persoonsgegevens zich vervolgens opstelt als het gaat om de geldigheid daarvan (mede gelet op het expliciete oordeel van het Hof).
Resume
Het Hof ontwikkelt zo - samen met de eerdere arresten Wirtschatsakademie en Jehova-getuigen - een genuanceerd spel aan regels:
- begrip 'verantwoordelijke' ruim uitleggen, want anders is de privacywetgeving helemaal niet van toepassing, 'invloed uitoefenen op' al voldoende voor (mede)verantwoordelijkheid in de zin van toepasselijkheid van het geheel aan privacyregels;
- wat het effect is van een specifieke regel op een partij hangt af van (de mate waarin) deze partij daadwerkelijk doel en middelen van (dat deel van) de verwerking vaststelt;
- iedere partij moet voor zijn deel van de verwerking een grondslag hebben;
- iedere partij moet voor zijn deel van de verwerking transparant zijn;
- iedere partij is slechts aansprakelijk voor zijn deel van de verwerking;
- iedere partij moet ....... (naar verwachting is hier in te vullen: aan iedere andere regel uit het privacyrecht voldoen, voor zijn deel van de verwerking).
Deze regels gelden (uiteraard) niet alleen voor websitehouders. Het Hof bouwt immers voort op rechtspraak die helemaal niet op websites zag (maar op huis-aan-huis verkondiging). Alles wijst er op dat dit bestendige lijn is.
Het laat verder zien dat het bij samenwerking met andere partijen eens te meer belangrijk is heldere afspraken te maken over ieders taak en rol bij de verwerking van persoonsgegevens. Niet alleen bij situaties van volledige gezamenlijke verantwoordelijkheid (vgl. artikel 26 AVG), maar ook bij situaties waarbij die verantwoordelijkheid meer verdeeld ligt.
Dit alles even bij eerste indruk. Mogelijk volgt op een later moment een uitgebreidere blog.
Vragen?
Heeft u vragen over privacyrecht? Neem dan gerust contact op.