Op veel websites zie je ze terug: de ‘vind ik leuk’-knop van Facebook en de cookiesmelding (of cookies zónder melding). Het is zo gewoon geworden, dat we bijna vergeten dat beide onderdelen gebruikt worden voor de verzameling van data, waaronder persoonsgegevens. Het zorgt voor het doorzenden van persoonsgegevens aan Facebook of het vastleggen van naar de gebruiker traceerbare (surf)gegevens. Maar wie kan verantwoordelijk gehouden worden voor deze verwerkingen?
Beide vormen van verwerking hebben geleid tot rechtszaken bij het EU-hof (de Facebookknop: zaak C-40/17, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV., en de cookies: zaak C‑673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV / Planet49 GmbH). Het tonen van de Facebookknop leidt, anders dan dat bezoekers vaak denken, ook tot het doorzenden van gegevens aan Facebook als iemand zelf geen Facebookprofiel heeft of wanneer iemand niet op de knop klikt. Door deze doorzending zonder toestemming van bezoekers wordt in strijd met de databeschermingsregels gehandeld.
Het EU-Hof concludeert vervolgens dat de websitebeheerder, als plaatser van de knop, samen met Facebook verantwoordelijk is voor het verzamelen en het aan Facebook doorzenden van persoonsgegevens van de bezoekers van de website. Beide kunnen dus verantwoordelijk gehouden worden voor de inbreuk en eventuele bijbehorende schade. Waarschijnlijk mede als gevolg van deze uitspraak uit 2019 heeft Facebook besloten de Vind ik leuk-knop vanaf eind 2021 in het geheel niet meer te gebruiken. Ook voor de toekomst blijft de uitspraak overigens van belang, nu er verschillende actieknoppen bestaan van diverse platforms en bedrijven.
In de cookieszaak oordeelt het EU-hof op gelijke wijze. Een websitebeheerder dient actief toestemming te vragen aan de bezoeker voor het plaatsen van cookies. Een standaard aangevinkt selectievakje is daarvoor onvoldoende. Ook moet de gebruiker geïnformeerd worden over de termijn waarin de cookies actief blijven en of derden al dan niet toegang tot de cookies hebben. De websitebeheerder dient zorg te dragen voor de bescherming van de persoonlijke levenssfeer bij elektronische communicatie.
Voor beide zaken geldt dat het niet noodzakelijk is dat een individueel benadeelde persoon een procedure start in het kader van de bescherming van persoonsgegevens. Ook een vereniging of stichting die consumentenbelangen behartigt, mag in rechte optreden tegen degene van wie wordt vermoed dat hij een inbreuk maakt op de bescherming van persoonsgegevens. In Nederland zijn ondertussen, naast de bekende Consumentenbond, diverse verenigingen en stichtingen actief die deze taak op zich nemen. Een gewaarschuwd websitebeheerder telt voor twee!