IT 2831

HvJ: beheerder internetsite en Facebook verantwoordelijk voor verzamelen persoonsgegevens

HvJ EU 29 juli 2019, IEF 18628; IEFbe 2922; IT 2832; ECLI:EU:C:2019:629 (Fashion ID tegen Verbraucherzentrale) Privacy. Fashion ID exploiteert een webshop. Op haar website heeft zij de 'like' knop van Facebook overgenomen. Dit heeft tot gevolg dat de persoonsgegevens van bezoekers die de internetsite van Fashion ID raadplegen, worden doorgezonden aan Facebook Ireland. Deze gegevens blijken te worden doorgezonden zonder dat die bezoekers zich daarvan bewust zijn en ongeacht of zij al dan niet lid zijn van het sociaal netwerk Facebook of op de vind-ik-leukknop hebben geklikt. De Duitse rechter wenst van het Hof te vernemen of ook Fashion ID verantwoordelijk kan worden gehouden voor de verwerking van deze gegevens, en in welke gevallen dit wel of niet kan. Beantwoording door het Hof:

1. De artikelen 22, 23 en 24 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moeten aldus worden uitgelegd dat zij niet in de weg staan aan een nationale regeling op grond waarvan verenigingen die consumentenbelangen behartigen, in rechte mogen optreden tegen degene van wie wordt vermoed dat hij inbreuk maakt op de bescherming van persoonsgegevens.

2. De beheerder van een internetsite, zoals Fashion ID GmbH & Co. KG, die op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, kan worden geacht voor de verwerking verantwoordelijk te zijn in de zin van artikel 2, onder d), van richtlijn 95/46. Deze verantwoordelijkheid is evenwel beperkt tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt, te weten het verzamelen en door middel van doorzending verstrekken van de gegevens in kwestie.

3. In een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van de bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, zijn deze verwerkingshandelingen ten aanzien van die beheerder en die aanbieder enkel gerechtvaardigd indien elk van hen daarmee een gerechtvaardigd belang behartigt in de zin van artikel 7, onder f), van richtlijn 95/46.

4. Artikel 2, onder h), en artikel 7, onder a), van richtlijn 95/46 moeten aldus worden uitgelegd dat in een situatie als die welke in het hoofdgeding aan de orde is, waarin de beheerder van een internetsite op deze site een social plug-in invoegt die ervoor zorgt dat de browser van een bezoeker van die site content van de aanbieder van die plug-in opvraagt en daartoe persoonsgegevens van de bezoeker aan deze aanbieder doorzendt, de op grond van die bepalingen vereiste toestemming enkel door die beheerder moet worden verkregen voor de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij het doel en de middelen vaststelt. Daarnaast moet artikel 10 van die richtlijn aldus worden uitgelegd dat ook de daarin neergelegde verplichting tot informatieverstrekking in een dergelijke situatie rust op die beheerder, zij het dat de door hem aan de betrokkene te verstrekken informatie enkel betrekking dient te hebben op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt.

Prejudicieel gestelde vragen:

1. Staat de regeling van de artikelen 22, 23 en 24 van [richtlijn 95/46] in de weg aan een nationale regeling die, naast de bevoegdheden tot optreden van de gegevensbeschermingsautoriteiten en de beroepsmogelijkheden van de betrokkenen, ook voorziet in de bevoegdheid voor verenigingen van algemeen nut die consumentenbelangen behartigen om in geval van inbreuken op te treden tegen de inbreukmaker?

2. Is in een geval als het onderhavige, waarin iemand in zijn website een programmeercode integreert die ervoor zorgt dat de browser van de gebruiker content van een derde opvraagt en daartoe persoonsgegevens aan de derde doorzendt, de persoon die deze code integreert de ,voor de verwerking verantwoordelijke’ in de zin van artikel 2, onder d), van [richtlijn 95/46], wanneer hij zelf geen invloed kan uitoefenen op deze gegevensverwerkingshandeling?

4. Welk ,gerechtvaardigd belang’ moet in een geval als het onderhavige in aanmerking worden genomen bij de ingevolge artikel 7, onder f), van richtlijn [95/46] te maken afweging? Het belang bij het opnemen van content van derden of het belang van de derde?

5. Tegenover wie moet in een geval als het onderhavige de ingevolge artikel 7, onder a), en artikel 2, onder h), van richtlijn [95/46] te geven toestemming worden verleend?
6. Geldt in een situatie als de onderhavige de verplichting tot informatieverstrekking van artikel 10 van richtlijn [95/46] ook voor de beheerder van een website die de content van een derde heeft opgenomen en zo ten grondslag ligt aan de verwerking van persoonsgegevens door de derde?”