“To Like or not to Like?” – like-button plaatsen op website heeft gevolgen

De bekende like-button van Facebook is inmiddels tot de standaarduitrusting van veel commerciële websites gaan behoren. Maar wat gebeurt er met de gegevens die via het gebruik van die knop worden verwerkt? En, belangrijker, wie is daarvoor verantwoordelijk: Facebook of de website zelf? In een uitspraak van 29 juli 2019 schept het Hof van Justitie EU voor het eerst (enige) duidelijkheid over de vraag wie verwerkingsverantwoordelijke is bij het gebruiken van een social plug-in zoals de like-button.

Fashion ID GMBH/Verbraucherzentrale NRW (C-40/17)

De zaak betrof de Duitse kledingwebshop Fashion ID, die op haar website gebruikmaakte van een Facebook like-button. Via deze like-button worden bepaalde persoonsgegevens van bezoekers van de website automatisch verzameld en doorgestuurd aan Facebook; ongeacht of de bezoeker al dan niet klikt op de like-button. Websitebezoekers zijn zich hier meestal niet van bewust. De Duitse consumentenorganisatie NRW spande daarom een zaak aan tegen Fashion ID wegens het verzamelen en doorsturen van die persoonsgegevens aan Facebook zonder dat de bezoekers hiervoor toestemming hadden gegeven. Aan het Europese Hof werd -uiteindelijk- de vraag gesteld of Fashion ID hier als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) moest worden aangemerkt, met alle gevolgen van dien.

Het Hof oordeelde dat Fashion ID samen met Facebook verantwoordelijk is voor het verzamelen en doorsturen van persoonsgegevens aan Facebook. Het Hof overwoog dat Fashion ID en Facebook samen bepalen voor welk doel de persoonsgegevens worden verzameld en ook samen bepalen welk middel zij daarvoor gebruiken. Een Facebook like-button wordt immers niet zomaar op een website geplaatst: zowel Facebook als de website hebben daar een economisch belang bij (het maken van reclame en de zichtbaarheid op Facebook). Conclusie: de websitebeheerder is (verwerkings)verantwoordelijk voor het verzamelen en doorsturen van persoonsgegevens aan Facebook totdat Facebook deze heeft ontvangen. Vanaf dat moment is Facebook (verwerkings)verantwoordelijk.

Wat betekent deze uitspraak voor de praktijk?

De AVG beoogt consumenten zo goed mogelijk te beschermen. Zij moeten zoveel mogelijk in staat worden gesteld om de veiligheid van hun gegevens te kunnen (laten) waarborgen. Dat het Hof nu de website ook als verwerkingsverantwoordelijke aanmerkt bij het gebruik van een like-button, past daarmee binnen de ruime definitie van verwerkingsverantwoordelijke in de AVG. Maar voor veel websitebeheerders zal de uitspraak als een onaangename verrassing zijn gekomen. Als verwerkingsverantwoordelijke zullen websitebeheerders immers aan bepaalde verplichtingen moeten voldoen. Zo zullen zij hun websitebezoekers moeten informeren over wie verantwoordelijk is voor de verwerking van hun gegevens via de like-button en met welk doel deze gegevens worden verwerkt.

Websitebeheerders zullen dus moeten bedenken hoe een bepaalde social plug-in op hun website is geïncorporeerd, en wat dit betekent voor het verwerken en delen van gegevens van hun websitebezoekers. Ovidius denkt hierover graag mee.