Het Hof van Justitie van de Europese Unie (‘HvJ EU’) deed een uitspraak over de verantwoordelijkheden die rusten op de beheerder van een Facebook fanpagina.
We kennen allemaal de fanpagina’s op sociale media waarmee je op de hoogte blijft van het laatste nieuws over je favoriete voetbalclub, filmster of restaurant. Het is kinderlijk eenvoudig om zo’n fanpagina aan te maken en te beheren. Echter, wat tot voor kort niet duidelijk was of het beheren van zo’n fanpagina ook privacy-verplichtingen op grond van de AVG met zich mee brengt. Het Hof van Justitie van de Europese Unie (‘HvJ EU’) deed een uitspraak over de verantwoordelijkheden die rusten op de beheerder van een Facebook fanpagina. Het arrest geeft een inkijkje in de dienst Facebook Insights.
Wat was er aan de hand?
Aanleiding voor de procedure was de Facebook fanpagina van de Wirtschaftsakademie (hierna: “WA”). WA is een organisatie die onderwijsdiensten aanbiedt. De lokale Duitse privacy autoriteit heeft onderzoek gedaan naar de fanpagina van WA en heeft vastgesteld dat de bezoekers van de fanpagina door WA niet op de hoogte werden gebracht dat via Facebook Insights cookies met persoonlijke informatie van de bezoeker werden verzameld en oordeelde dat de fanpagina gedeactiveerd moest worden. Hier was WA het niet mee eens. Uiteindelijk belandde de zaak bij de hoogste bestuursrechter in Duitsland, die besloot om prejuidiciële vragen te stellen aan HvJ EU over de privacy verplichtingen die rusten op de beheerder van een fanpagina op Facebook.
Wat is Facebook Insights?
Het HvJ EU gaat uitvoerig in op de werking van Facebook Insights en stelt vast dat als een Facebook fanpagina wordt aangemaakt de gebruiksvoorwaarden en de cookiepolicy van Facebook geaccepteerd dienen te worden. Vervolgens worden door Facebook via Facebook Insights cookies geplaatst op de computer of ieder ander apparaat van de bezoeker van de fanpagina.
Via deze cookies wordt informatie over de bezoeker van de fanpagina opgeslagen in de webbrowser en die cookies blijven vervolgens gedurende twee jaar actief (indien ze niet worden gewist). Iedere keer dat een bezoeker het sociale media platform van Facebook bezoekt of als één van de andere diensten van Facebook wordt afgenomen , wordt er informatie uit de cookies van die bezoeker gehaald zodat een steeds completer profiel van die bezoeker ontstaat. Deze profielen worden vervolgens door Facebook gebruikt om haar advertentiesysteem te verbeteren alsook worden die profielen ter beschikking gesteld aan de beheerders van de fanpagina zodat die steeds beter weten wie de bezoekers van de fanpagina zijn en op basis daarvan steeds relevantere content en functies kan ontwikkelen.
Welke rol speelt beheerder van fanpagina bij het verwerken van persoonsgegevens?
Het HvJ EU stelt vast dat bij het openen van een fanpagina door de beheerder van die fanpagina opdracht wordt gegeven om cookies te plaatsen op de computer of apparaat van de bezoeker. Daarbij heeft de beheerder ook instellingen gekozen over zijn publiek en de doelstellingen van zijn activiteiten, hetgeen weer invloed heeft op de verwerking van persoonsgegevens met het oog op het opstellen van statistieken op basis van bezoeken aan de fanpagina. De beheerder kan verder nog filtercriteria instellen aan de hand waarvan statistieken worden opgesteld en zelfs categorieën personen worden aangewezen wiens persoonsgegevens door Facebook zullen worden geëxploiteerd. De beheerder draagt dus bij aan verwerking van persoonsgegevens.
Daarnaast kan de beheerder van de fanpagina verzoeken om informatie zoals; demografische gegevens met betrekking tot doelgroep, leeftijd, geslacht, liefdesleven en beroep, informatie over levensstijl en geografische gegevens. Deze gegevens worden door Facebook in geanonimiseerde vorm aangeleverd aan de beheerder van de fanpagina, echter die gegevens zijn wel verkregen door middel van het verzamelen van cookies van de bezoekers van de fanpagina. Het HvJ EU concludeert dat WA hierdoor deelneemt aan de vaststelling van het doel en het middel voor de verwerking van de persoonsgegevens van de bezoekers van zijn fanpagina waardoor zij verwerkingsverantwoordelijke is. Hiervoor moet deze beheerder worden aangemerkt als verantwoordelijke gezamenlijk met Facebook. Het feit dat een beheerder van een fanpagina gebruik maakt van het door Facebook beschikbaar gestelde platform om van de bijbehorende diensten te profiteren kan hem niet ontslaan van de naleving van zijn verplichtingen op het gebied van bescherming van persoonsgegevens.
Wel merkt het HvJ EU (en met haar ook de advocaat generaal in zijn conclusie) op dat het bestaan van een gezamenlijke verantwoordelijkheid niet noodzakelijkerwijs ook betekent dat de beheerder van een fanpagina een gelijkwaardige verantwoordelijkheid heeft als Facebook. De ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval.
Facebook en privacy in 2019
Het beheren van een fanpagina is als gevolg van dit arrest ineens niet meer zo onschuldig als voorheen werd gedacht. Door het loutere beheren van een fanpagina wordt verantwoordelijkheid gedragen voor de persoonsgegevens die Facebook verwerkt via Facebook Insights. Zo kan de bezoeker zijn recht op inzage of vergetelheid uitoefenen en dient de beheerder van de fanpagina aan die verzoeken medewerking te verlenen. Dit arrest van het HvJ EU strekt verder dan alleen Facebook en ziet ook op andere sociale media platforms waarbij op soortgelijke wijze persoonsgegevens worden verwerkt.
Na de inmenging van Facebook in de Amerikaanse verkiezingen door middel van toegang te bieden tot persoonsgegevens aan Cambridge Analytica, is dit arrest wederom een flinke knauw voor de wijze waarop Facebook met persoonsgegevens van bezoekers omgaat. Binnenkort kan overigens nog een arrest van het HvJ EU worden verwacht over de wijze waarop Facebook persoonsgegevens verwerkt. Dan ligt de vraag voor of de doorgifte van persoonsgegevens op een website die gebruik maakt van een Facebook “like button” in lijn is met privacyregelgeving en wie verantwoordelijk is voor de verwerking van de persoonsgegevens. Facebook en privacy blijven dus een hot topic in 2019.