Het Europese Hof van Justitie heeft in een uitspraak bepaald dat websitebeheerders die een social plug- in hebben geïmplementeerd op hun website samen met de aanbieder van de social plug-in verantwoordelijk zijn voor de verwerking van persoonsgegevens. Daarnaast zouden de bezoekers door de websitebeheerder over de verwerking geïnformeerd moeten worden.
Fashion ID vs. Duitse consumentbond
De zaak in kwestie gaat over Fashion ID, een Duitse webwinkel die handelt in modekleding. De website van Fashion ID heeft een social plug-in, namelijk de “vind-ik-leuk” van Facebook (hierna likeknop van Facebook) ingevoegd. De persoonsgegevens van de bezoeker, zoals onder andere de IP-gegevens, worden naar Facebook Ireland doorgezonden. Het doorzenden van de persoonsgegevens gebeurt op een geautomatiseerde wijze. De bezoekers van de website zijn niet op de hoogte dat er een doorzending plaatsvindt. Daarnaast vindt de doorzending plaats ongeacht of de bezoeker lid is van Facebook of de likeknop van Facebook klikt. De Duitse consumentenorganisatie, de tegenpartij in deze zaak, vindt dat Fashion ID de persoonsgegevens van hun bezoekers aan Facebook hebben doorgezonden zonder toestemming van de bezoekers en dus in strijd handelen met de GDPR.
Uitspraak Europese Hof van Justitie
Gezamenlijk verantwoordelijk
Het Hof oordeelt dat Fashion ID, door de integratie van de likeknop van Facebook, het voor Facebook mogelijk maakt om persoonsgegevens van de bezoeker te verkrijgen ongeacht of de bezoeker lid is van Facebook of daadwerkelijk op de likeknop heeft geklikt. Volgens het Hof heeft Fashion ID op een beslissende wijze invloed op het verzamelen en doorzenden van de persoonsgegevens van de bezoekers ten gunste van Facebook, waarbij het verzamelen en doorzenden van de persoonsgegevens niet zou plaatsvinden indien die plug-in niet was ingevoegd.
Daarnaast oordeelt het Hof dat het integreren van een likeknop een commercieel doel heeft voor Fashion ID, omdat op deze wijze Fashion ID reclame maakt voor haar producten. Het verkrijgen van dit commerciële voordeel, lijkt de reden te zijn waarom Fashion ID op zijn minst impliciet heeft ingestemd met het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van de bezoekers van haar site. Deze verwerkingshandelingen worden zowel verricht in het economische belang van Fashion ID als in dat van Facebook.
Gelet op deze informatie oordeelt het Hof dat Fashion ID en Facebook samen het doel en de middelen van de verwerkingen vaststellen en oordeelt het Hof dat Fashion ID samen met Facebook verantwoordelijk is voor de verzameling en doorzending van de persoonsgegevens van de bezoekers.
Verstrekking van informatie aan bezoekers
Het Hof oordeelt dat er toestemming moet worden verleend voordat de persoonsgegevens van de betrokkene worden verzameld en doorgestuurd. De toestemming moet door de websitebeheerder, in casu Fashion ID, worden verkregen en niet door Facebook. Het Hof stelt als eis dat Fashion ID de verwerkingen duidelijk moet vermelden aan de bezoekers, zodat de bezoekers worden geïnformeerd en hun uitdrukkelijke toestemming kunnen geven.
Conclusie
In dit arrest onderzoekt het Hof eerst welke soort verwerkingsactiviteiten er zijn en oordeelt het Hof voor elk verwerkingsactiviteit wie het doel en middelen bepaalt. Daarbij speelt het geen rol dat de websitebeheerder geen invloed heeft op de verwerking van persoonsgegevens die aan Facebook (of een andere aanbieder van een social plug-in) worden doorgezonden. Het Hof merkt op dat de verantwoordelijkheid van de websitebeheerder beperkt is tot de verwerking van persoonsgegevens waarvoor de websitebeheerder daadwerkelijk het doel en de middelen vaststelt (te weten het verzamelen en door middel van doorzending verstrekken van de gegevens). Dit betekent dat websitebeheerders niet verantwoordelijk zijn voor wat de aanbieder van de social plug-in met de doorgespeelde gegevens doet.
In praktijk betekent dit dat websitebeheerders die gebruik maken van een social plug-in en hierdoor persoonsgegevens verzamelen en doorzenden naar de aanbieder van die plug-in, dit in hun Privacyverklaring moeten vermelden en hiervoor uitdrukkelijke expliciete toestemming moeten vragen.
deJuristen helpen u hier graag mee en kunnen ervoor zorgen dat uw organisatie door middel van juridische en praktische informatie GDPR-compliant is.
Geschreven door Duygu Öztürk
