Het Hof van Justitie EU heeft uitspraak gedaan in een Duits geschil tussen de beheerders van een Facebookpagina van een onderwijsinstelling en de privacy toezichthouder. Het probleem: zowel de beheerder van de facebookpagina als Facebook zelf informeerden bezoekers niet over cookies die geplaatst worden ten behoeve van Facebook Insights (de analytics van Facebook). Scroll naar beneden om te weten wat de consequenties voor jou als Paginabeheerder zijn.
Wie is de verwerkersverantwoordelijke?
Deze uitspraak is natuurlijk nog gewezen onder de oude richtlijn, in plaats van de nieuwe AVG, maar inhoudelijk maakt dat in dit geval gelukkig niet uit. Nog steeds belangrijk voor nu, dus.
Eigenlijk speelt hier vooral de vraag wie de verwerkingsverantwoordelijke is. Want de partij met die rol kan door de toezichthoudende autoriteit worden aangesproken.
De verwerkingsverantwoordelijke is de persoon, het bedrijf, overheidsorganisatie of andere organisatie die alleen of gezamenlijk met anderen het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Dat Facebook in elk geval een verwerkersverantwoordelijke is, dat is gemakkelijk vast te stellen, maar is de beheerder van een Facebookpagina dat ook?
Overeenkomst gesloten
Als je een Facebookpagina aanmaakt, sluit je daarvoor eigenlijk weer een overeenkomst met Facebook, waarbij je instemt met de gebruiksvoorwaarden en het privacy- en cookiebeleid.
Als beheerder van de pagina ben je dus op de hoogte, althans dat kun je zijn, van hoe Facebook meekijkt met je pagina en dat ze zelf ook nog cookies plaatsen via de pagina.
Cookies
Facebook plaatst via pagina’s cookies die twee jaar actief blijven, tenzij ze worden gewist natuurlijk. Er zijn bijvoorbeeld mensen die elke dag de cookies (laten) wissen.
De cookies verzamelen in de basis anonieme statistieken. De cookies worden geplaatst bij iedereen die de pagina bezoekt, ongeacht of die persoon een Facebookaccount heeft of niet.
Het doel is dat Facebook hiermee betere informatie verkrijgt om het advertentienetwerk te verbeteren en dat de beheerder inzicht krijgt in de statistieken.
Invloed op het verwerken van gegevens
Omdat je bij het aanmaken van een pagina allerlei informatie aan Facebook moet geven en instellingen moet vastleggen, waarbij je ook doel en doelpubliek moet aangeven, heeft volgens het Hof van Justitie de beheerder van de pagina invloed op het opstellen van de statistieken. Met behulp van filters kunnen criteria worden vastgesteld aan de hand waarvan statistieken moeten orden opgesteld en waarmee de categorieën van personen kunnen worden aangegeven waarvan de persoonsgegevens zullen worden geëxploiteerd door Facebook. Hiermee draagt de beheerder van de pagina bij aan de verwerking van persoonsgegevens van de bezoekers van de pagina.
Gezamenlijk verwerkingsverantwoordelijke
Omdat de beheerder dus mede bepaalt wat het doel en de middelen zijn voor de verwerking van persoonsgegevens, is een beheerder ook een verwerkingsverantwoordelijke.
“Het feit dat een beheerder van een fanpagina gebruikmaakt van het door Facebook beschikbaar gestelde platform om van de bijbehorende diensten te profiteren kan hem ademlijk niet ontslaan van de naleving van zijn verplichtingen op het gebied van bescherming van persoonsgegevens.” (r.o. 40)
Juist omdat ook mensen zonder account de pagina kunnen bezoeken en ze dus niet door het aanmaken of hebben van een account op de hoogte kunnen zijn van de voorwaarden en het privacy- en cookiebeleid van Facebook, ligt er een verantwoordelijkheid bij de beheerder van de Facebookpagina, om te informeren over het gebruik van cookies.
Geen gelijkwaardig niveau verantwoordelijkheid
Het Hof van Justitie benadrukt nog wel dat er geen gelijkwaardige verantwoordelijkheid hoeft te zijn. In verschillende stadia van de verwerking van persoonsgegevens, kunnen ook de verantwoordelijkheden verschillen. Het zal dus van de omstandigheden af kunnen hangen wie welk niveau van verantwoordelijkheid draagt.
Als ze gezamenlijk verantwoordelijk zijn, waarom wordt Facebook dan niet aangesproken?
Volgens het Hof van Justitie had ook Facebook aangesproken mogen worden door de Duitse toezichthouder, ondanks dat Facebook niet gevestigd is in Duitsland. De toezichthouder heeft dat alleen in dit geval niet gedaan. Bovendien is er ook geen verplichting om in zo’n geval per se beide verwerkingsverantwoordelijken aan te spreken.
Wat moet je als beheerder van een Facebookpagina doen?
Zie je Facebookpagina een beetje als je eigen website. Je maakt gebruik van de faciliteiten van Facebook, die je deels beperken en deels juist meer mogelijkheden geven. Omdat je, in elk geval volgens het Hof van Justitie, mede verantwoordelijk bent voor het plaatsen van de cookies en het verzamelen van informatie voor de statistieken, moet je informeren over het gebruik van cookies.
Die informatie moet voor iedere bezoeker van je Facebookpagina gemakkelijk te vinden zijn. Het makkelijkste is daarom om een privacy- en cookieverklaring te maken en die bijvoorbeeld als notitie op je Pagina toe te voegen of door een link naar de privacy- en cookieverklaring te plaatsen die een vaste plek heeft en zonder (veel) te scrollen altijd terug te vinden is.