Beheerders van pagina’s op social media platforms vallen onder gezamenlijke verantwoordelijkheid

De beheerder (admin) van een Facebook-pagina is gezamenlijk verantwoordelijke voor de verwerking van persoonsgegevens van personen die de pagina bezoeken. Ook al heeft de beheerder zelf geen toegang tot de persoonsgegevens. Dat oordeelde het Europees Hof van Justitie (HvJEU) op 5 juni 2018. Het resultaat van de uitspraak is dat beheerders van pagina’s op social media platforms moeten bijdragen aan de bescherming van persoonsgegevens van de bezoekers van hun pagina. In deze blog lees je over de overwegingen die aan deze uitspraak ten grondslag liggen.

De uitspraak is gebaseerd op de onlangs uit werking getreden voorganger van de Algemene Verordening Gegevensbescherming (AVG). De overwegingen van het Hof zijn desalniettemin zeer relevant voor beheerders van pagina’s op social mediaplatforms, omdat het begrip (gezamenlijke) verantwoordelijke onder de AVG in stand blijft.

Gezamenlijke verantwoordelijkheid

Allereerst, is het van belang om stil te staan bij het begrip ‘verantwoordelijke’. In de wet wordt gedoeld op de natuurlijke of rechtspersoon die alleen of gezamenlijk met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. De organisatie die bepaalt dat cookies (het middel) op apparaten worden geplaatst ten behoeve van gepersonaliseerde marketing (het doel) is verantwoordelijke. Als hij dat samen met een ander doet, zijn zij gezamenlijk verantwoordelijk voor de bescherming van persoonsgegevens. 

De uitspraak

Het HvJEU overweegt in haar uitspraak dat, ondanks het feit dat Facebook social media platform exploiteert, de beheerder (of admin) van een pagina tevens verantwoordelijk is voor de verwerking van persoonsgegevens op de pagina. Dat komt doordat de beheerder voorafgaand aan het openen van de pagina een overeenkomst tekent met het platform waarin staat dat Facebook tracking cookies mag plaatsen op de apparaten van bezoekers.  

Bovendien legt de beheerder stelt de beheerder zelf de doelgroep en doelstellingen van de pagina vast en bepaalt hij welke soort statistieken hij van Facebook wilt ontvangen over de bezoekers. Dat kunnen demografische of geografische gegevens zijn, maar ook gegevens over persoonlijke interesses en aankopen.  Zo kan de beheerder op basis van profielen een gerichte marketingcampagne voeren en een op maat gemaakt informatieaanbod creëren.

Het feit dat de beheerder de bezoekersstatistieken geanonimiseerd ontvangt, doet volgens het HvJEU niets af aan de gezamenlijke verantwoordelijkheid. De gegevens zijn immers verkregen door cookies die zijn geplaatst op apparaten van bezoekers van de pagina om de, door de beheerder bepaalde, statistische doeleinden te behalen. Het Europees Hof van Justitie benadrukt dat de wet niet vereist dat alle partijen die gezamenlijk verantwoordelijk zijn toegang tot de persoonsgegevens hebben.

Het Hof concludeert daarom dat de beheerder van een pagina op een social media platform door de doelgroep, doelstellingen en daaropvolgende (promotie)activiteiten te bepalen, mede het doel en middelen verwerking van persoonsgegevens van zijn pagina bepaalt.

Ondanks dat het in deze uitspraak gaat om de beheerder van een Facebook-pagina, kunnen we het resultaat van deze uitspraak in een breder plaatje bekijken, namelijk naar beheerder van pagina’s of onderdelen van andere (social meda) diensten. Ook zij zijn eventueel aan te merken als gezamenlijk verantwoordelijke van de exploitant van het platform.

Vraagt u zich af of uw organisatie nu ook een gezamenlijke verantwoordelijkheid draagt? Neem dan vrijblijvend contact met ons op.