Toestemming nodig voor de Facebook like-button

09 september 2019

Het Hof van Justitie van de Europese Unie (‘HvJ EU”) heeft recentelijk geoordeeld dat websites geen Facebook like-knop mogen integreren die persoonsgegevens naar Facebook verzenden, zonder dat de bezoeker hierover geïnformeerd is en toestemming heeft gegeven. Het arrest heeft niet alleen consequenties voor de like-button van Facebook, maar ook voor andere sociale media platforms.

Wat zijn de feiten?

Fashion ID exploiteert een Duitse webshop waarop kleding wordt verkocht. Op deze website is een social plug-in van Facebook geïntegreerd, namelijk de “vind-ik-leukknop” (ook wel bekend als de like-button). De bezoeker van de webshop kan via de like-button aangeven dat hij de pagina van de website ook op Facebook wil volgen. Ongeacht of de bezoeker de like-button aanklikt of lid is van Facebook, wordt bij een bezoek aan de website direct de browsergeschiedenis en informatie over het IP-adres van de bezoeker van de website met Facebook gedeeld. Nadat de like-button eenmaal is geïntegreerd in de website heeft de beheerder van de website geen directe invloed meer op het verwerken van deze gegevens door Facebook.

Een Duitse consumentenorganisatie stelt dat het verwerken van persoonsgegevens via de like-button in strijd is met de privacyregels en maakt de gang naar de rechter. De Duitse rechter heeft vervolgens prejudiciële vragen aan het HvJ EU gesteld over de verwerking van persoonsgegevens via de like-button van Facebook.

Wat oordeelt het HvJ EU?

Het HvJ EU herhaalt eerst de bestaande jurisprudentie en overweegt dat het begrip ‘verantwoordelijke’ een ruime uitleg toekomt. Daarnaast benadrukt het HvJ EU onder verwijzing naar art. 2 Dataprotectie richtlijn dat meerdere partijen aangemerkt kunnen worden als verwerkingsverantwoordelijke. Indien meerdere partijen betrokken zijn, is het niet noodzakelijk zo dat ieder van hen toegang heeft tot de betrokken persoonsgegevens. De gezamenlijk verantwoordelijke partijen kunnen in verschillende mate verantwoordelijk zijn gelet op de specifieke feiten en omstandigheden van het geval.

Om te beoordelen of Fashion ID en/of Facebook gezamenlijk verantwoordelijk zijn, is art. 2 (d) van de toen geldende Dataprotectie richtlijn bepalend. Daarin is bepaald dat de verwerkingsverantwoordelijke degene is die het doel van en het middel voor de verwerking vaststelt. Het HvJ EU stelt vast dat de ‘verwerking’ van persoonsgegevens ook een geheel van bewerkingen kan zijn. Elke partij is dan verantwoordelijk voor het deel van de bewerkingen waarvoor het doel en het middel wordt vastgesteld. Het HvJ EU oordeelt dat een partij niet verantwoordelijk kan worden gehouden voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan het doel en het middel door die partij niet wordt vastgesteld.

Wie is verantwoordelijk voor gegevensverwerking via de like-button?

Het HvJ EU maakt onderscheid tussen enerzijds het plaatsen van de like-button op de website van Fashion ID en anderzijds de ontvangst van die persoonsgegevens door Facebook. Fashion ID is samen met Facebook verantwoordelijk voor het eerste gedeelte. Fashion ID speelt echter geen rol bij het tweede gedeelte en is niet verantwoordelijk voor de verdere verwerking van persoonsgegevens door Facebook.

Ten aanzien van de gegevens die worden gedeeld via de like-button geldt dat Fashion ID invloed heeft op het middel van de gegevensverwerking, namelijk het plaatsen van de like-button op haar website. Ook heeft zij invloed op het doel van die verwerking. Door het plaatsen van de like-button verkrijgt Fashion ID voordeel, namelijk optimalisatie van reclame voor haar producten en vergroting van haar zichtbaarheid op Facebook. Dit commerciële voordeel is onlosmakelijk verbonden met de beslissing om de like-button te integreren op de website. Dit houdt ook verband met het belang van Facebook, namelijk het verkrijgen van de persoonsgegevens van de bezoekers zodat zij haar advertentiemodel kan optimaliseren. Facebook en Fashion ID hebben dus ieder een eigen doel bij de verwerking.

Welke conclusie kunnen we trekken?

Beheerders zijn al snel medeverantwoordelijke in de zin van de AVG en het maakt niet uit of partijen daarbij in gelijke mate verantwoordelijk zijn voor de verwerking. In een latere fase van de verwerkingsketen kan er geen sprake meer zijn van medeverantwoordelijkheid.

Beheerders van websites met een like-button, moeten hun bezoekers dus informeren over verwerking van persoonsgegevens via de like-button en bovendien toestemming vragen. Dit geldt ook voor andere social plug-ins, zoals die van LinkedIn of Pinterest.

Het informeren van de bezoeker kan via een privacy verklaring op de website. Het verkrijgen van toestemming van de bezoeker is complexer. Het verzamelen van cookies via de like-button valt hoogstwaarschijnlijk binnen het bereik van de ‘cookiebepaling’ uit de Telecommunicatiewet. Ten aanzien van het verwerken van cookies via de like-button dient de beheerder van de website expliciet toestemming te vragen van de bezoeker van de website. Dat betekent dus werk aan de winkel voor beheerder van websites met social plug-ins.