Heb je een Facebook Like-knop op je website?

Wanneer je op je website een like-knop van Facebook zet, dan ben je samen met Facebook verantwoordelijk voor het verzamelen en aan Facebook doorzenden van de persoonsgegevens.

Dit is de uitkomst van een arrest van het Europese Hof van Justitie dat maandag jl. is gepubliceerd.

Persoonsgegevens worden aan Facebook doorgestuurd

In het Perscommuniqué nr. 99/19D wordt de uitspraak als volgt samengevat: De beheerder van een internetsite die is uitgerust met de vind-ik-leukknop van Facebook, kan samen met Facebook verantwoordelijk zijn voor het verzamelen en aan Facebook doorzenden van de persoonsgegevens van de bezoekers van zijn site. Daarentegen is hij in beginsel niet verantwoordelijk voor de latere verwerking van die gegevens door Facebook alleen.

Het gaat bij deze uitspraak om een Duitse webwinkel die op haar internetsite een like-knop van Facebook heeft geplaatst. Dit met als gevolg dat er persoonsgegevens van bezoekers die deze hebben geraadpleegd, worden doorgezonden aan Facebook Ireland. Deze gegevens zijn doorgezonden zonder dat de bezoekers zich daarvan bewust zijn, ongeacht of zij al dan niet lid zijn van Facebook of op de like-knop hebben geklikt.

Een Duitse vereniging die consumentenbelangen behartigt, verwijt in deze zaak de webwinkel dat zij persoonsgegevens van hun bezoekers aan Facebook Ireland hebben doorgezonden. Dit zonder de toestemming van die bezoekers. Dit is, zo motiveert de vereniging, in strijd met de verplichtingen die in de bepalingen inzake de bescherming van persoonsgegevens zijn neergelegd.

Mede-verwerkingsverantwoordelijke

In 2018 heb ik al eerder geschreven over een uitspraak van het Europese Hof van Justitie (C210/16) in een soortgelijke zaak. Toen ging het over een fan-pagina op Facebook. In deze zaak werd de beheerder als mede-verwerkingsverantwoordelijke aangemerkt. Het Hof voerde destijds aan dat een dergelijke beheerder door het bepalen van instellingen (naargelang van, met name, zijn doelpubliek, zijn beheerdoelstellingen of het doel zijn activiteiten te promoten) deel neemt aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van zijn fan-pagina.

Het Hof benadrukt dat ook in deze zaak de beheerder van een internetsite (zoals hier de beheerder van de Duitse webwinkel), medeverantwoordelijk is voor de verwerkingen van gegevens van de bezoekers van haar site, zoals het verzamelen van gegevens en het doorzenden ervan aan Facebook Ireland.

Toestemming

Het Hof stelt vast dat de beheerder van een dergelijke internetsite een verplichting heeft tot informatieverstrekking. In de situatie waarbij de beheerder van een internetsite op haar site een social plug‑in en daartoe persoonsgegevens van de bezoeker doorzendt, dient er toestemming te worden verkregen.

In een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, zijn deze verwerkingshandelingen ten aanzien van die beheerder en die aanbieder enkel gerechtvaardigd indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46.

Daarentegen is de beheerder van de betreffende website in beginsel niet verantwoordelijk voor de latere verwerking van die gegevens door Facebook.

Wat te doen met de like-knop

De like-knop biedt je de mogelijkheid jouw interesses te delen met je Facebook-vrienden. Daarnaast geeft het Facebook en haar adverteerders een heleboel (persoons)informatie. We weten inmiddels dat Facebook hier erg ver in gaat. Ook wanneer je de like-knop niet aanklikt maar slechts de sites bezoekt waarop de knop aanwezig is, kunnen je gegevens door cookies worden opgeslagen. Ben je beheerder van een dergelijke site overweeg dan de like-knop weg te halen of zorg voor het informeren en het verkrijgen van toestemming op een manier die de toets van de AVG kan doorstaan.

"Het blog Juridict.nl verschaft inzicht in het domein Recht en ICT. Dit zowel vanuit juridisch- als vanuit ICT perspectief."