Disable Preloader

gratis advies & nieuws

GDPR: Het gebruik van de Facebook-plugins, zoals de ‘Vind ik leuk’-knop, op uw website, brengt meer verantwoordelijkheden mee dan u denkt !

Feiten

De zaak werd aangespannen door een consumentenvereniging tegen een kledingwinkel die de Facebook ‘Vind ik leuk’-knop op haar website gebruikte.

De kledingwinkel gebruikte een dergelijke knop op haar website die een verbinding maakte tussen de website en Facebook. Belangrijker nog is dat van elke bezoeker van de website het IP-adres en de browserstring automatisch naar Facebook werden doorgestuurd. Dit gebeurde ook indien de bezoeker niet op de knop had gedrukt en het gebeurde ook zonder dat van de bezoeker de toestemming werd bekomen of ingelogd was op Facebook. Facebook plaatste bovendien cookies op het apparaat van de bezoeker.

De gezamenlijke verwerkingsverantwoordelijke

Volgens de GDPR is een “verwerkingsverantwoordelijke” de (rechts)persoon die over het doel van en de middelen voor de verwerking van persoonsgegevens beslist. Er kunnen voor een verwerking ook meer dan 2 verantwoordelijke zijn. Het Hof van Justitie besliste reeds dat de beheerder van een fanpagina op Facebook samen met Facebook verantwoordelijk is voor de verwerking van persoonsgegevens van bezoekers. In de beslissing dd. 29 juli 2019 (Case C‑40/17), ook wel het Arrest Fashion ID genoemd, besliste het Hof van Justitie dat Facebook en de beheerder van de website samen als verwerkingsverantwoordelijke moeten beschouwd worden. 

Motivering van het Hof van Justitie

Het hof is van oordeel dat de beheerder van de website zelf bewust de keuze heeft gemaakt om de plugin te installeren en de doorgifte van de persoonsgegevens mogelijk te maken. Bovendien heeft hij ook een belangrijk economisch voordeel door de publiciteit die de kledingwinkel op sociale media krijgt.

Het feit dat de kledingwinkel geen invloed heeft op het gebruik van de gegevens door Facebook en zelfs geen toegang had tot de betrokken persoonsgegevens, vindt het Hof van Justitie irrelevant. Dit kan ook van toepassing zijn op plugins die vergelijkbaar zijn met die van Facebook.

Een keten van verwerkingsprocessen

We kunnen besluiten dat twee afzonderlijke verwerkingen van persoonsgegevens  beschouwd als een “keten” van verantwoordelijke die met elkaar verbonden zijn. Zij geven persoonsgegevens door aan elkaar.  Het Hof van Justitie heeft daarbij wel verduidelijkt dat de beheerder van de website alleen verantwoordelijk is voor het verzamelen en doorgeven van gegevens op zijn eigen website. De kledingwinkel kan in dit geval dan ook niet verantwoordelijk worden gesteld voor de verwerking van de persoonsgegevens door Facebook.

Advies

  1. Verplichting tot informatieverstrekking aan bezoekers van de website: de beheerder van de website moet zijn bezoekers informeren over de verzameling en overdracht van persoonsgegevens aan Facebook.
  2. Verplichting tot het verkrijgen van voorafgaande toestemming: de beheerder van de website dient vooraf toestemming te verkrijgen met betrekking tot de verwerkingsactiviteiten waarvoor de hij als verantwoordelijke voor de verwerking optreedt.
  3. Regeling tussen de gezamenlijke verantwoordelijken: Er moet een overeenkomst worden afgesloten tussen de 2 verantwoordelijke om af te spreken wie welke verplichtingen zal uitvoeren.

Sancties

De GDPR legt de gezamenlijke verantwoordelijken de verplichting op om een regeling te treffen. Indien zij dit niet doen, kan dit leiden tot administratieve geldboetes van maximaal 10 miljoen EUR of, in het geval van een onderneming, tot 2% van haar totale wereldwijde jaaromzet in het voorafgaande boekjaar. Het is dus mogelijk dat het niet hebben van een dergelijke regeling kan leiden tot het opleggen van een boete.

Contact info
Social nieuws

Copyright © 2017 Webregion. All Rights Reserved