EU-Hof: Beheerder van Facebook fanpagina mede verantwoordelijk voor verwerking persoonsgegevens

Contentverzamelaar

EU-Hof: Beheerder van Facebook fanpagina mede verantwoordelijk voor verwerking persoonsgegevens

De gedeelde verantwoordelijkheid van Facebook en de beheerder van een fanpagina op Facebook draagt bij aan een vollediger bescherming van de rechten van bezoekers van die pagina’s. De nationale autoriteit voor gegevensbescherming kan tegen beide partijen optreden. Dat kan hij ook ten aanzien van een onderneming, zoals Facebook, die in een andere EU-lidstaat is gevestigd. Dat heeft het EU-Hof geantwoord op vragen van een Duitse rechter.

Het gaat om het arrest van 5 juni 2018 in zaak C-210/16, Wirtschaftsakademie Schleswig-Holstein.

De vragen zijn gesteld in een zaak tussen het Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (hierna ‘ULD’), de toezichthoudende autoriteit voor gegevensberscherming en het bedrijf Wirtschaftsakademie Schleswig-Holstein. Dit bedrijf biedt onderwijsdiensten aan via een fanpagina op Facebook.

Door middel van een gratis tool die wordt aangeboden door Facebook kunnen beheerders van fanpagina’s, zoals de Wirtschaftsakademie, anonieme statistieken over de bezoekers van de pagina verkrijgen. Deze gegevens worden verzameld via cookies die elk een unieke gebruikerscode bevatten, twee jaar actief zijn en door Facebook op de harde schijf van de computer of op iedere andere drager van de bezoekers van de fanpagina worden opgeslagen. De gebruikerscode, die kan worden gelinkt aan de verbindingsgegevens van de gebruikers die op Facebook zijn geregistreerd, wordt verkregen en verwerkt op het moment dat de fanpagina’s worden geopend. Wirtschaftsakademie heeft hier gebruik van gemaakt.

De ULD heeft als toezichthoudende autoriteit in de zin van de richtlijn bescherming persoonsgegevens de deactivatie van de fanpagina van Wirtschaftsakademie bevolen. Wirtschaftsakademie en Facebook hebben volgens ULD nagelaten om de bezoekers van de fanpagina op de hoogte te stellen van het feit dat er persoonlijke informatie over hen werd verzameld en dat deze informatie vervolgens ook werd verwerkt. Wirtschaftsakademie heeft tegen dit besluit beroep ingesteld. Volgens Wirtschaftsakademie kon de verwerking van persoonsgegevens door Facebook niet aan haar worden toegerekend. Ze stelt dat zij Facebook geen opdracht tot verwerking van persoonsgegevens heeft gegeven waarover zij controle had of waarop zij invloed had kunnen oefenen. Volgens haar had ULD daarom tegen Facebook moeten optreden en niet tegen haar. Het Bundesverwaltungsgericht stelt het EU-Hof hierover een aantal vragen.

Verantwoordelijkheid voor de verwerking van persoonsgegevens

Volgens het EU-Hof moet het begrip ‘voor de verwerking verantwoordelijke’ uit de richtlijn bescherming persoonsgegevens, gelet op de doelstelling om een hoog niveau van bescherming van de grondrechten en met name het privéleven van natuurlijke personen, ruim worden uitgelegd. Het EU-Hof bevestigt dat Facebook, en meer specifiek de Ierse dochteronderneming van Facebook, verantwoordelijk is voor de verwerking van persoonsgegevens van Facebookgebruikers in de EU-lidstaten. Facebook bepaalt namelijk het doel van en de middelen voor de verwerking van deze gegevens. Daarnaast is echter ook de beheerder van een fanpagina, zoals in dit geval Wirtschaftsakademie, samen met de Ierse dochteronderneming van Facebook verantwoordelijk voor de verwerking van deze gegevens volgens het EU-Hof. De beheerder bepaalt namelijk de instellingen van de pagina en dus eveneens het doel van en de middelen voor de verwerking van de persoonsgegevens van haar bezoekers. De beheerder kan verzoeken om ontvangst en daarmee de verwerking demografische gegevens van de doelgroep van de fanpagina. Het gaat dan onder andere om gegevens als leeftijd, geslacht, liefdesleven en beroep, maar ook geografische gegevens die de beheerder van de fanpagina voor promotiedoeleiden kan gebruiken. Ook al worden deze gegevens geanonimiseerd doorgegeven, zij zijn via cookies die Facebook vooraf heeft geplaatst, verkregen. Het feit dat een beheerder van een fanpagina gebruikmaakt van het door Facebook beschikbaar gestelde platform om van de bijbehorende diensten te profiteren, ontslaat hem niet van de plicht tot de bescherming van persoonsgegevens.

Door de erkenning van een gezamenlijke verantwoordelijkheid voor de beheerder van een fanpagina en Facebook wordt bijgedragen aan een vollediger bescherming van de persoonsgegevens van bezoekers van fanpagina’s.

Bevoegdheden van de autoriteit

De toezichthoudende autoriteit mag voorts alle bevoegdheden waarover het beschikt gebruiken om ervoor te zorgen dat de regels met betrekking tot de bescherming van persoonsgegevens worden gerespecteerd. Als het gaat om een onderneming die buiten de Unie gevestigd is, maar die meerdere vestigingen in de EU-lidstaten heeft, mag de autoriteit haar bevoegdheden uitoefenen ten aanzien van de vestiging van de onderneming in de lidstaat van de autoriteit. Dit is zelfs zo wanneer deze dochteronderneming niet verantwoordelijk is voor het verkrijgen en verwerken van de persoonsgegevens. De bevoegdheden van de autoriteit staan dus los van de werkzaamheden van de vestiging van de onderneming die in de lidstaat is gevestigd, aldus het Hof. De autoriteit hoeft niet ook niet eerst de autoriteit van de EU-lidstaat waar de onderneming die verantwoordelijk is voor de verwerking van persoonsgegevens gevestigd is, te verzoeken om op te treden.