Bijna iedere website heeft er wel één: de zogenaamde like-button van Facebook. Met één klik op de knop laat u uw Facebooknetwerk weten dat u een restaurant aanbeveelt of een start-up steunt. Wat men vaak echter niet weet is dat er door middel van deze like-button ook allerlei persoonsgegevens van de bezoeker uit de browser worden doorgestuurd naar Facebook. Het Hof van Justitie van de Europese Unie heeft geoordeeld dat er voor het verwerken van deze persoonsgegevens toestemming moet worden gevraagd aan de gebruiker en dat de website-eigenaar hiervoor verantwoordelijk kan worden gehouden.
Vanaf het moment dat een vind-ik-leuk-knop op een website wordt geplaatst worden het IP-adres en de browserhistorie van een bezoeker aan Facebook verstrekt. Het maakt hierbij niet uit of de gebruiker een Facebook-account heeft of niet. Het zogenaamde ‘doorgeven’ van deze persoonsgegevens aan Facebook gebeurt vaak zonder dat de bezoeker hiervan op de hoogte wordt gesteld. Dit is in strijd met de verplichtingen inzake de bescherming van persoonsgegevens.
Een website-eigenaar is volgens het Hof samen met Facebook verantwoordelijk voor het verwerken van de persoonsgegevens. De website-eigenaar stemt in met de doorgifte van de persoonsgegevens aan Facebook, in ruil voor een commercieel voordeel, namelijk betere zichtbaarheid op Facebook. Zowel Facebook als de website-eigenaar bepaalt dus de doeleinden van de verwerking. Om die reden rust op de website-eigenaar de verantwoordelijkheid om de bezoeker vooraf te informeren over deze doorgifte en hiervoor toestemming te vragen.
Website-eigenaren zijn echter maar voor een deel van de verwerking verantwoordelijk, namelijk de verzameling en de doorgifte zelf. De verantwoordelijkheid voor wat er daarna met de persoonsgegevens gebeurt ligt alleen bij Facebook. De mate van aansprakelijkheid wordt uiteindelijk bepaald aan de hand van de omstandigheden. Hier wordt gekeken naar in welke fasen en mate de partijen betrokken zijn geweest bij de verwerking van de gegevens.
Indien u een vind-ik-leuk-knop op uw website heeft staan is het aan te raden om bepaalde privacymaatregelen te nemen. U kunt uw bezoekers over de verwerking van persoonsgegevens informeren in uw privacy statement. Doe dit voldoende duidelijk en specifiek. Vermeld in ieder geval welke informatie er wordt verzameld en doorgegeven en voor welk doel.
Daarnaast moet u de expliciete toestemming van de bezoeker verkrijgen. Toestemming kunt u vragen door middel van een zogenaamde cookie consent banner. Om duidelijke en ondubbelzinnige toestemming te geven voor het plaatsen van de cookies, is het van belang dat de bezoeker per categorie kan aangeven of er een akkoord wordt gegeven voor de plaatsing hiervan. Pas daarna mogen persoonsgegevens daadwerkelijk verzameld worden.
Benjamin Niemeijer
Advocaat
La Gro Geelkerken
www.lagrogeelkerken.nl
