Het Hof van Justitie van de EU heeft op 5 juni 2018 een belangrijke uitspraak gewezen over de interpretatie van het privacyrecht. De aanleiding voor de uitspraak was een vraag over Facebook-pagina's, maar de uitspraak is in feite relevant voor alle partijen die persoonsgegevens verwerken. Met name de genuanceerde opmerking over verdeling van verantwoordelijkheid valt op.
Achtergronden
Aanleiding voor de uitspraak is de handhavingsactie door een van de Duitse toezichthouders.
Wirtschaftsakademie is een instelling in Duitsland die onderwijsdiensten aanbiedt door middel van een fanpagina op Facebook.
De ULD - privacytoezichthouder in de deelstaat Sleeswijk-Holstein - had Wirtschaftsakademie bevolen haar Facebookpagina offline te halen, omdat bezoekers niet (correct) werden geinformeerd dat er bij bezoek aan de pagina allerlei gegevens (via o.m. cookies) werden verzameld.
Wirtschaftsakademie bestreed de handhaving door o.m. aan te voeren dat zij helemaal niet verantwoordelijk is voor die gegevensverzameling. De ULD zou bij Facebook moeten aankloppen.
De vraag komt via een zogenaamde "prejudiciele vraag" bij het Hof van Justitie terecht.
Hof: begrip verwerkingsverantwoordelijk ruim uitleggen gelet op doel richtlijn
Het Hof merkt allereerst op dat het doel van de privacyrichtlijn een hoog niveau van bescherming is (r/o 26). Dat maakt dat het begrip verwerkingsverantwoordelijke ruim moet worden uitgelegd (r/o 27), anders is er geen doeltreffende en volledige bescherming van de privacy mogelijk (r/o 28).
Het Hof neemt duidelijk het doel van privacybescherming in het achterhoofd bij het uitleggen van begrippen. Wanneer het begrip verantwoordelijke eng zou moeten worden uitgelegd, dan zouden de regels uit de privacyrichtlijn immers niet meer van toepassing zijn.
Hof: verwerkingsverantwoordelijke kunnen meerdere partijen zijn
Het Hof wijst er in r/o 29 op dat volgens de definitie een "verantwoordelijke" niet per se één partij hoeft te zijn. Er kan best sprake zijn van meerdere verantwoordelijken, die dan allemaal onderworpen zijn aan het privacyrecht.
De AVG houdt daar overigens al iets nadrukkelijker rekening mee, daarin wordt het onderscheid gemaakt tussen de verantwoordelijke en de gezamenlijk verantwoordelijken (artikel 26 AVG).
Hof: paginabeheerder kan doel verwerking bepalen en is dus medeverantwoordelijke
In de daarop volgende overwegingen constateert het Hof dat de paginabeheerder invloed heeft op de verwerking van persoonsgegevens. De beheerder bepaalt immers:
- de instellingen van de pagina, mede afhankelijk van doelpubliek en doelstellingen;
- filters vaststellen voor de statistieken;
- op verzoek demografische gegevens over de gebruikers van zijn pagina ontvangen;
- advertenties/promoties toespitsen op de demografische kenmerken van bezoekers van zijn pagina.
De beheerder bepaalt, althans beinvloedt, dus in feite welke gegevens in ieder geval Facebook verwerkt. Dat maakt de beheerder medeverantwoordelijke (r/o 39).
Hof: doet niet ter zake dat statistieken geanonimiseerd zijn
Opmerkelijk is dat het Hof expliciet overweegt dat niet relevant is dat de paginabeheerder slechts geanonimiseerde statistieken ontvangt (r/o 38). Het Hof overweegt namelijk dat bij gezamenlijke verantwoordelijkheid niet vereist is dat "elk van hen toegang heeft tot de betrokken persoonsgegevens".
Ook het gegeven dat het platform in feite de (on)mogelijkheden dicteert is volgens het Hof niet relevant (r/o 40).
Hof: extra zorgvuldigheid vereist bij niet-Facebook-leden
Het Hof benadrukt dat de verantwoordelijkheid ten aanzien van niet-leden van Facebook "nog groter" is (r/o 41).
Het is onduidelijk wat het Hof daar verder mee bedoelt. Mogelijk wordt er op gedoeld dat Facebook-gebruikers met hun lidmaatschap op voorhand al andere verwachtingen inzake privacy mogen hebben dan niet-leden. Dat staat er echter niet. Dit is dus gissen.
Hof: gezamenlijke verantwoordelijkheid echter wel genuanceerd beoordelen
In r/o 43 komt een belangrijke nuancering van het Hof: gezamenlijke verantwoordelijkheid wil niet zeggen dat alle partijen ook op gelijkwaardige wijze verantwoordelijk zijn.
Het Hof oordeelt dat "het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval". Even daarvoor merkt het Hof op dat de betrokken partijen "kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn".
Dat lijkt een redelijke rechtsregel. De vraag is wel wat dit nu voor de praktijk betekent. Het lijkt er op dat de paginabeheerder het verweer kan voeren: 'ik ben weliswaar formeel verantwoordelijke, maar praktisch gezien heb ik nauwelijks tot geen invloed op de persoonsgegevens die verwerkt worden, dus mijn aansprakelijk is ook (nagenoeg) nihil'. Het is afwachten of dat inderdaad de juiste lezing is en hoe dit leerstuk zich verder in de rechtspraak ontwikkelt.
Overige overwegingen over bevoegdheden toezichthouders in internationale context
In de rest van het arrest behandelt het Hof vragen over welk recht van toepassing is en welke toezichthouder bevoegd in internationale kwestie. Wat grofmazig uitgedrukt volgt het Hof hier de lijn die uit de Weltimmo en Google Spain arresten al volgt. Ik behandel dit in deze blog niet verder, al was het maar omdat de AVG over dit onderwerp hele andere keuzes maakt.
Slotopmerking
Het arrest van het Hof is belangrijk voor het privacyrecht. Een partij die persoonsgegevens verwerkt of er invloed heeft op de verwerking door een andere partij, is al snel (gezamenlijk) verantwoordelijk voor die verwerking(en). Verschuilen achter eventuele (technische) beperkingen is er niet bij.
Wel lijkt het er op dat de mate van die verantwoordelijkheid afhangt van de mate van feitelijke invloed. Opmerkelijk genoeg lijkt het verschuilen achter eventuele (technische) beperkingen er in die tweede stap dus wel bij. Overigens is dat naar mijn idee niet onredelijk en ook niet zo verrassend: ook elders in het recht is steeds de vraag of en zo ja in hoeverre bepaalde gedragingen aan een partij kunnen worden toegerekend.
Het wordt er voor beheerders van Facebook-pagina's echter niet gemakkelijker op. De Autoriteit Persoonsgegevens is bevoegd actie tegen die beheerders te ondernemen. De beheerders kunnen echter feitelijk geen kant op (behalve de pagina opdoeken); het contract met Facebook is immers een 'slikken of stikken' contract.
Juist om die reden wordt het er voor de Autoriteit Persoonsgegevens echter ook niet makkelijker op. Die moet juist o.m. dat laatste verweer van de paginabeheerder uitdrukkelijk meenemen in de beoordeling. Het Hof benadrukt immers dat "het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval".
Dat wordt dus waarschijnlijk ofwel helemaal uitprocederen, of er verandert voorlopig helemaal niets. We houden het in de gaten.
Het arrest van het Hof bevestigt wel eens te meer dat het van belang is goede contractuele afspraken te maken over de verwerking van persoonsgegevens. Zeker als u geen zin heeft om dit "helemaal uit te procederen". Heeft u daar vragen over, neem dan contact met ons op.
