Eerder besliste het Hof van Justitie van de Europese Unie in zijn Wirtschaftsakademie Schleswig-Holstein arrest al dat de beheerder van een facebookpagina een joint-controller (gezamenlijke verwerkingsverantwoordelijke) van persoonsgegevens is samen met Facebook. Nu werd de vraag opgeworpen of een beheerder van een website waarop een facebook like-knop plug-in staat, ook een joint controller is.

Like-knop plug-in

De zaak betrof de website Fashion ID. Op deze website stond een externe like-knop plug-in van facebook. De bodemrechter had vastgesteld dat deze plug-in informatie verzamelde van alle bezoekers van de Fashion ID website, ongeacht of zij een account hadden bij facebook of niet.

Joint-controller

Om een joint-controller te zijn moet Fashion ID samen met facebook het doel en de middelen van de gegevensverwerking vaststellen. Hiermee bedoelen we: samen bepalen waarom en hoe de persoonsgegevens worden verwerkt. Het Hof besliste dat dit voor zowel de verzameling van de gegevens als het doorzenden ervan naar facebook het geval is. Op de verdere verwerking heeft Fashion ID geen invloed, noch is zij op de hoogte zelfs van doel en middelen van de verwerking en is zij aldus geen joint controller.

Rechtsgeldige verwerking

Een rechtmatige verwerking van persoonsgegevens vereist aanwezigheid van een rechtsgrond voor de verwerking, in casu zijn volgende gronden relevant: gerechtvaardigd belang in hoofde van de verwerkingsverantwoordelijke of toestemming van de betrokkene.
Indien men zich beroept op gerechtvaardigd belang verduidelijkte het Hof dat het belang moet bestaan in hoofde van elke joint-controller. Zo moet Fashion ID een gerechtvaardigd belang hebben om de gegevens te verzamelen en te verzenden en Facebook een gerechtvaardigd belang voor alle verwerkingshandelingen die het stelt.
Alternatief kan je ook de toestemming van de betrokken persoon voor de gegevensverwerking vragen. Ook hier moet Fashion ID afzonderlijk van Facebook de toestemming van de betrokken persoon vragen voor het verzamelen en verzenden van de gegevens en moet Facebook toestemming vragen voor alle verwerkingshandelingen die het verricht.
Hetzelfde geldt overigens ook voor de transparantieplicht die zowel op Fashion ID als op Facebook rust.

Gevolgen

Facebook zal waarschijnlijk dezelfde lijn als voorheen doortrekken en voor het gebruik van plug-ins een joint-controller overeenkomst invoegen in overeenkomsten (zie ook het joint controller addendum voor Facebook paginabeheerders) Het afsluiten van zo’n overeenkomst tussen de joint-controllers is immers vereist onder artikel 26 AVG.
Websites die plug-ins van facebook gebruiken moeten er dan ook rekening mee houden dat zij voor bepaalde verwerkingen van persoonsgegevens joint-controllers zijn.
Wij raden dan ook aan om in ieder geval de nodige informatie te verschaffen aan je websitebezoekers en te zorgen dat je over een nodige rechtsgrond beschikt voor die verwerking. Je kan hiervoor toestemming voor gegevensverwerking vragen aan jouw website-bezoekers of afwegen of je over een gerechtvaardigd belang beschikt om die gegevens te verwerken.

Heb je nog vragen over plug-ins of de GDPR in het algemeen, aarzel dan niet om ons te contacteren!