Het Hof van Justitie van de Europese Unie heeft uitgesproken dat de beheerder van een fanpagina op Facebook samen met Facebook verantwoordelijk is voor gegevensverwerking van bezoekers aan de pagina. Zo is te lezen in het persbericht. Daarmee neemt het Hof een duidelijk standpunt in over de verantwoordelijkheid van bedrijven die social media services inzetten. Opvolging van dat standpunt heeft nogal wat gevolgen voor bedrijven.

 

Het Hof stelt:

The administrator of a fan page on Facebook is jointly responsible with Facebook for the processing of data of visitors to the page.
In de case die het Hof heeft behandeld gaat het over de ‘cookies’ die gebruikt worden op Facebook pagina’s waar Facebook noch Beheerder melding van maakt aan bezoekers van de pagina.
Beheerders van een Facebook pagina kunnen (anonieme) statistische data van bezoekers inzien en verkrijgen via Facebook insights. Hiervoor worden via een Facebook pagina cookies gebruikt waarmee persoonsgegevens verwerkt worden (uniek bezoeker id). Hierop zijn de regels ten aanzien van gegevensbescherming van toepassing: bezoekers moeten geïnformeerd worden.
Als beheerder van een Facebook pagina ben je samen met Facebook verantwoordelijke voor het geven van deze informatie (en verkrijgen van toestemming indien nodig). Wanneer Facebook die informatie niet geeft, zul je als beheerder deze informatie moeten geven.

Wanneer je de uitspraak van het Hof verder doortrekt dan geldt dit natuurlijk niet alleen voor Facebook pagina’s, maar kan eenzelfde situatie en oordeel zich voordoen andere platforms zoals LinkedIn pagina’s. Als bedrijf kan je je in deze uitspraak niet verschuilen achter een extern platform (‘wij hebben daar geen invloed op’), maar moet je het meenemen in je privacy beleid. Doorgetrokken naar marketing ben je naast verantwoordelijke voor owned media soms dus ook (mede)verantwoordelijk voor paid media en moet je je voor de gegevensverwerkingen aldaar ook houden aan de van toepassing zijnde wetgeving.

Terzijde: Het Hof heeft dit getoetst aan de voorgaande privacy wetgeving (EU Directive 95/46). Onder de AVG zal dit net zo beoordeeld worden, maar het is geen gevolg van de AVG.