19 jan 2017
Vragen aan HvJ EU: Is plaatser 'vind ik leuk'-Facebookknop in code verantwoordelijk voor de verwerking?
Prejudiciële vragen gesteld aan HvJ EU 19 januari 2017, IT 2245; IEFbe 2112; IEF C-40/17 (Fashion ID tegen Verbraucherzentrale NRW) Bescherming persoonsgegevens; plaatsing cookies. Verzoekster is een online bedrijf in modeartikelen. Verweerster de DUI ‘Consumentenbond’. Facebook intervenieert in de zaak aan de zijde van verzoekster. Het gaat om de plaatsing van een ‘vind ik leuk’ knop (plug-in) op verzoeksters website. Verweerster is een zaak begonnen om van verzoekster te vorderen dat zij zich van het gebruik van de knop onthoudt zolang zij niet aan (vier genoemde) voorwaarden voldoet. Het gaat om gegevensverzameling waarvoor verzoekster toestemming aan de bezoekers van de site zou moeten vragen. De rechter in eerste aanleg wijst de vordering gedeeltelijk toe, maar wijst het door verweerster onder punt 4 gevorderde af (luidende: ‘Wanneer u gebruiker van een sociaal netwerk bent en niet wenst dat het sociale netwerk via onze website gegevens over u verzamelt en koppelt aan de bij dit netwerk opgeslagen gebruikersgegevens, dient u zich vóór het bezoek aan onze website uit te loggen van het sociale netwerk.’
Verweerster gaat in beroep bij de verwijzende rechter.
De verwijzende DUI rechter (Oberlandesgericht Düsseldorf) geeft allereerst een technisch exposé over de werking (communicatie) van browsers. Heeft u een opfrisser nodig, zie de punten 4 – 6 van de verwijzingsbeschikking. Verweerster stelt dat Facebook het meegedeelde IP-adres en de browserstring opslaan en koppelen aan een bepaalde gebruiker (lid of niet-lid). Verzoekster stelt dit niet te weten. Interveniënte betoogt, dat het IP-adres na de installatie van de plug-in wordt omgezet in een generisch IP-adres en slechts als zodanig wordt opgeslagen. Het IP-adres en de browserstring worden niet gekoppeld aan een user account.
De verwijzende rechter gaat ervan uit dat sprake is van gegevensverzameling door Facebook. Aangezien Facebook met behulp van de geplaatste cookies een verband met een persoon tot stand kan brengen gaat het om persoonsgegevens. Verzoekster heeft de procesbevoegdheid van verweerster in twijfel getrokken. De rechter in eerste aanleg heeft deze aanvaard (onder de noemer ‘marktgedrag’ in de zin van de Wet oneerlijke mededinging) maar verzoekster wijst op RL 95/46 waarin slechts voorzien wordt in optreden gegevensbeschermingsautoriteiten. De verwijzende rechter ziet verantwoordelijkheid voor de verzameling voor zowel verzoekster als Facebook, maar de vraag is of verzoekster naast Facebook verantwoordelijk gehouden kan worden als ‘voor de verwerking verantwoordelijke’. Hij wijst op de nog aanhangige zaak C-210/16 Wirtschaftsakademie Schleswig-Holstein. Indien verweerster niet ‘voor de verwerking verantwoordelijke’ is, betekent dat niet noodzakelijk dat het hoger beroep moet worden toegewezen. Naar DUI recht is in beginsel ook een aansprakelijkheid als zogenoemde ‘Störer’ mogelijk, dat wil zeggen iemand die het risico van schending door derden heeft gecreëerd of verhoogd en niet doet wat mogelijk en redelijk is om die schending te voorkomen. Verzoekster heeft de knop op haar site geplaatst. Wanneer verzoekster verantwoordelijk is (of ‘Störer’) dan rijst de vraag of de verwerking rechtmatig is, door wie van beide de verplichting tot informatieverstrekking als bedoeld in artikel 10 van de RL moet worden nagekomen en of de verzameling ‘nodig’ is. Is er een gerechtvaardigd belang? (C-582/14). Hij legt het HvJEU de volgende vragen voor:
1. Staat de regeling van de artikelen 22, 23 en 24 van [Richtlijn persoonsgegevens) in de weg aan een nationale regeling die, naast de bevoegdheden tot optreden van de gegevensbeschermingsautoriteiten en de beroepsmogelijkheden van de betrokkenen, ook voorziet in de bevoegdheid voor verenigingen van algemeen nut die consumentenbelangen behartigen om in geval van inbreuken op te treden tegen de inbreukmaker?
Indien de eerste vraag ontkennend wordt beantwoord:
2. Is in een geval als het onderhavige, waarin iemand in zijn website programmeercode integreert die de browser van de gebruiker content van een derde doet opvragen en daartoe persoonsgegevens aan de derde doet toekomen, de persoon die deze code integreert de “voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23 november 1995, blz. 31), wanneer hij zelf geen invloed kan uitoefenen op deze gegevensverwerkingshandeling?
3. Indien de tweede vraag ontkennend moet worden beantwoord: moet artikel 2, onder d), van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus worden uitgelegd, dat het de aansprakelijkheid en verantwoordelijkheid in die zin uitputtend regelt dat het in de weg staat aan een civielrechtelijke vordering tegen een derde die weliswaar niet de “voor de verwerking verantwoordelijke” is, maar ten grondslag ligt aan de verwerkingshandeling, zonder daarop invloed uit te oefenen?
4. Welk “gerechtvaardigd belang” moet in een geval als het onderhavige in aanmerking worden genomen bij de ingevolge artikel 7, onder f), van richtlijn 95/46/EG te maken afweging? Het belang bij het opnemen van content van derden of het belang van de derde?
5. Tegenover wie moet in een geval als het onderhavige de ingevolge artikel 7, onder a), en artikel 2, onder h), van richtlijn 95/46/EG te geven toestemming worden verleend?
6. Geldt in een situatie als de onderhavige de verplichting tot informatieverstrekking van artikel 10 van richtlijn 95/46/EG ook voor de beheerder van een website die de content van een derde heeft opgenomen en zo ten grondslag ligt aan de verwerking van persoonsgegevens door de derde?