Vaker dan doorgaans wordt ingeschat, is sprake van gezamenlijke verantwoordelijkheid voor het gebruik van persoonsgegevens. Dat blijkt uit rechtspraak van het Hof van Justitie van de Europese Unie (“HvJEU”) in 2018 en 2019. De Algemene verordening gegevensbescherming (AVG) bepaalt dat in deze situaties specifieke controller-to-controller afspraken moeten worden gemaakt.

De verantwoordelijke in het privacyrecht

De partij die aan de regels van de AVG moet voldoen, is de “verwerkingsverantwoordelijke” (ook wel: “controller“ of “data controller“ en hierna aangeduid met “verantwoordelijke“). Dat is de partij die alleen of samen met anderen het doel en de middelen van de gegevensverwerking vaststelt (art. 4 lid 7 AVG). De verantwoordelijke valt te onderscheiden van de “verwerker”, die persoonsgegevens alleen ten behoeve van een verantwoordelijke verwerkt (zie ook de opinie van de artikel 29 werkgroep over dit onderwerp). Op de verwerker rusten ook verplichtingen onder de AVG, maar dat zijn er aanzienlijk minder dan op de verantwoordelijke.

De praktijk

In de praktijk zijn er veel situaties waarin de ene partij gebruik maakt van de diensten van een ander, en waarbij door één van die partijen of door beide partijen persoonsgegevens worden verwerkt. Te denken valt bijvoorbeeld aan alle vormen van IT-diensten waarbij de ene partij in het kader van zijn diensten voor de andere partij gegevens verkrijgt, opslaat of inziet.

In dergelijke situaties moet worden beoordeeld welke rol de verschillende partijen ten aanzien van de persoonsgegevens innemen. Is sprake van een verwerker-verantwoordelijke relatie waarbij de ene partij zonder invloed de gegevens voor de andere partij verwerkt, is sprake van gezamenlijke verantwoordelijkheid of is sprake van een verstrekking van gegevens door de ene zelfstandig verantwoordelijke aan de andere zelfstandig verantwoordelijke?

Veel samenwerkingen werden als verwerker-verantwoordelijke relatie of verantwoordelijke-verantwoordelijke gekwalificeerd. De jurisprudentie van het HvJEU laat echter zien dat dat niet altijd juist is, en dat sneller sprake is van gezamenlijke verantwoordelijkheid dan men misschien dacht. Dit is van belang, omdat in dat geval andere afspraken moeten worden gemaakt en andere aansprakelijkheidsregels gelden.

Wat was er aan de hand?

De Facebook-fanpagina

De zaak Wirtschaftsakademie (HvJEU 5 juni 2018, zaak C‑210/16) draait om de vraag of een beheerder van een fanpagina op Facebook medeverantwoordelijk is voor de gegevens die Facebook via die pagina verzamelt en verwerkt.

Wirtschaftsakademie is een Duitse onderwijsorganisatie met een fanpagina op Facebook. Dit is de Facebook-pagina die hoort bij een Facebook-account voor een bedrijf of organisatie.

Bij een bezoek aan een fanpagina op Facebook worden cookies geplaatst. Vervolgens wordt met die cookies informatie verzamelt wanneer de bezoeker Facebook bezoekt, of een andere website die gebruik maakt van Facebook-diensten. De op deze wijze verzamelde informatie wordt gebruikt voor twee doeleinden:

• Om de Facebook-advertentiediensten te verbeteren en Facebook in staat te stellen gericht te adverteren;
• Om statistieken te creëren voor de beheerder van de fanpagina, bestaande uit anonieme statistische gegevens die een profiel van de bezoekers van de fanpagina schetsen zodat de beheerder de informatie en/of zijn diensten daarop aan kan passen.

Volgens het HvJEU bepaalt Facebook primair het doel en de middelen van de verwerking van persoonsgegevens van Facebook-gebruikers en andere bezoekers van de fanpagina. De vraag is echter in hoeverre de beheerder bijdraagt aan het bepalen daarvan.

Hoewel een gewone Facebook-gebruiker doorgaans niet als medeverantwoordelijke wordt gezien, onderscheid de beheerder van een fanpagina zich daarvan doordat:

• De beheerder Facebook in staat stelt cookies te plaatsen, ongeacht of de bezoeker van de fanpagina een gebruiker is van Facebook of niet;
• De beheerder bij het aanmaken van de pagina instellingen bepaalt zoals het doelpubliek en de doelstellingen van de pagina die van invloed zijn op de verwerking, bijvoorbeeld door het instellen van filters en het aanwijzen van bepaalde categorieën personen;
• De beheerder kan vragen om bepaalde demografische gegevens over de bezoekers van de fanpagina van Facebook te ontvangen zoals de leeftijd, geslacht, beroep en interesses van de doelgroep, maar ook over aankopen of geografische gegevens.

Dit maakt dat de beheerder deelneemt aan het bepalen van het doel en de middelen van de verwerking en dus gezamenlijk met Facebook moet worden aangemerkt als de verantwoordelijke. De verantwoordelijkheid van de beheerder is nog groter omdat ook van personen die geen Facebook-account hebben gegevens worden verzameld enkel omdat zij de fanpagina bezoeken.

Daarbij maakt het niet uit dat de beheerder uitsluitend geanonimiseerde gegevens ontvangt en zelf geen toegang heeft tot de persoonsgegevens. Het HvJEU benadrukt dat het feit dat de beheerder slechts gebruik maakt van een platform van een derde hem niet kan ontslaan van verantwoordelijkheid, maar benadrukt wel dat de verantwoordelijkheid niet noodzakelijkerwijs gelijkwaardig is.

Huis-aan-huis verkondiging van Jehova-getuigen

De volgende zaak (HvJEU 10 juli 2018, zaak C-25/17) draait om de verwerking van persoonsgegevens in het kader van huis-aan-huis verkondiging van het geloof door Jehova-getuigen.

Bij de huis-aan-huis verkondiging verzamelen de leden van de geloofsgemeenschap persoonsgegevens. De vraag is wie daarvoor de verantwoordelijke is. Is dat de geloofsgemeenschap, zijn dat de leden of beiden?

Volgens het HvJEU kan iedere natuurlijke persoon of rechtspersoon die met eigen redenen invloed uitoefent op de verwerking van persoonsgegevens en die daardoor deelneemt aan de vaststelling van het doel en middelen van de verwerking als verantwoordelijke worden beschouwd.

Het HvJEU vervolgt dat enerzijds de leden van de geloofsgemeenschap invloed hebben. Zij beslissen immers wanneer ze gegevens verzamelen, welke gegevens zij verzamelen en hoe zij die verwerken. Anderzijds worden de persoonsgegevens verwerkt in het kader van de huis-aan-huis verkondiging met als doel het geloof van de gemeenschap uit te dragen. Dit is een wezenlijke activiteit van de gemeenschap, die door de gemeenschap wordt georganiseerd, gecoördineerd en aangemoedigd. De gegevens worden verzameld als geheugensteun voor een later bezoek en de gemeenten houden lijsten bij van personen die niet meer willen worden bezocht. Het HvJEU concludeert dat de gemeenschap door de geloofsverkondigingsactiviteit van haar leden te organiseren, coördineren en aan te moedigen, samen met haar leden, deelneemt aan de vaststelling van het doel en middelen van de verwerking. De leden en de gemeenschap moeten daarom als gezamenlijk verantwoordelijke worden aangemerkt.

Facebook buttons

De laatste zaak (HvJEU 29 juli 2019, zaak C-40/17) gaat over het gebruik van Facebook-buttons, meer specifiek om een zogenaamde “vind-ik-leuk” button die de webwinkel Fashion ID op haar website heeft geplaatst. Via de button worden van alle bezoekers van de website gegevens verzameld en aan Facebook doorgezonden, ongeacht of die bezoeker op de button klikt en ongeacht of hij een Facebook-account heeft.

Volgens het HvJEU heeft een beheerder van een website die een dergelijke button plaatst beslissende invloed op het verzamelen en doorsturen van de gegevens omdat het verzamelen en doorzenden niet zou plaatsvinden zonder die actie. Aan de andere kant is het Facebook die de technologie van de button ter beschikking stelt. Fashion ID en Facebook bepalen daarom samen de middelen. Hetzelfde geldt voor het doel, omdat de verwerkingen worden verricht in het economisch belang van zowel Fashion ID als Facebook. Facebook en Fashion ID zijn dan ook gezamenlijk verantwoordelijken. Deze verantwoordelijkheid is echter beperkt tot het verzamelen en verstrekken van de gegevens door middel van de button en ziet niet op eventueel gebruik van de gegevens vroeger of later in de verwerkingsketen, waarvan het doel en de middelen niet gezamenlijk worden vastgesteld.

Wanneer is nu sprake van gezamenlijke verantwoordelijkheid?

Van gezamenlijke verantwoordelijkheid voor de verwerking van persoonsgegevens zal met name sprake zijn wanneer beide partijen in een samenwerking:

• belang hebben bij de verwerking;
• noodzakelijk zijn voor de verzameling van de gegevens;
• invloed hebben op welke gegevens worden verzameld en/of hoe ze worden verwerkt.

De laatste uitspraak (Fashion ID) lijkt echter ook het afbakenen van de verantwoordelijkheid in verschillende fases van de verwerking mogelijk te maken.

Overigens is het goed om hierbij te bedenken dat deze uitspraken allen onder de privacyrichtlijn zijn gewezen die inmiddels is vervangen door de AVG. De uitspraken zijn ook relevant onder de AVG, maar het kan zijn dat de lijn die het HvJEU op sommige punten kiest niet langer (volledig) gevolgd zou worden onder de AVG. Zo bepaalde het HvJEU in Wirtschaftsakademie dat de verantwoordelijkheid van de partijen die gezamenlijk verantwoordelijk zijn niet noodzakelijkerwijs gelijkwaardig is. Het is de vraag hoe dit zich verhoud tot de hoofdelijke aansprakelijkheid voor gezamenlijk verantwoordelijken uit art. 26 lid 3 en 82 lid 4 AVG (zie tevens overweging 146 AVG). Mogelijk focust het HvJEU daarom in Fashion ID op afbakening per fase en volgt zij daarmee de A-G die dit verschil tussen de Privacyrichtlijn en AVG terecht aankaart, maar erg duidelijk is dit niet. Het is daarom te verwachten dat toekomstige jurisprudentie op dergelijke punten meer duidelijkheid gaat brengen.

Wat betekent dit in de praktijk?

Aan de beoordeling van de rolverdeling zal in de praktijk meer aandacht moeten worden besteed, zodat een partij, hoe hij ook kwalificeert, desgevraagd aan de toezichthouder kan laten zien waarom hij meent verwerker, verantwoordelijke of gezamenlijk verantwoordelijke te zijn en de aansprakelijkheid van de verschillende betrokken partijen goed is geregeld.

Voor partijen die een Facebook-fanpagina hebben, gebruik maken van Facebook buttons of andere diensten waardoor gegevens worden uitgewisseld met Facebook, zijn de arresten duidelijk: Facebook en de gebruiker van de dienst kwalificeren als gezamenlijk verantwoordelijken. Het HvJEU laat de eindbeslissing formeel over aan de verwijzende rechter, maar in wezen lijkt dat niet meer in te houden dan een verificatie van de feiten. Het is dus zaak om hier zo snel mogelijk afspraken over te maken met Facebook.

Ook in andere gevallen zal het nodig zijn om afspraken te maken over de gezamenlijke verantwoordelijkheid van partijen. Hiervoor gelden op grond van de AVG minder vereisten dan voor de verwerkersovereenkomst, wat maakt dat partijen meer vrijheid hebben. Partijen zullen afspraken moeten maken over wie precies verantwoordelijk is voor welk onderdeel van de verwerking, voor het informeren van betrokkenen en het uitoefenen van rechten door betrokkenen. Vanzelfsprekend is daarbij ook van groot belang af te spreken hoe ver de aansprakelijkheid van beide partijen reikt.

Vita Zwaan en Silvia van Schaik