Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud

Wanneer mag je een Facebookfoto in je eigen groep publiceren?

| AE 8232 | Intellectuele rechten, Privacy | 13 reacties

facebook-profielEen lezer vroeg me:

Onlangs ontdekte ik dat een foto van mijn paardrijdende dochter in een mij onbekende Facebook-groep werd gedeeld. De beheerder gaf aan dat hij dat deed omdat de foto tijdens een bepaald evenement had gemaakt en ik de foto voor het publiek had gedeeld. Hij mocht daarom van de Facebook-regels een kopie maken en die in een nieuwe groep publiceren, zei hij. Klopt dat?

Onder normale omstandigheden was het antwoord simpel: nee, je mag op internet gevonden foto’s niet verder publiceren zonder toestemming (behalve citaatrecht en een paar andere hier niet relevante dingen). Dat dingen vrij op internet staan, betekent niet dat er geen auteursrecht meer geldt.

Specifiek op Facebook kan dat soms iets anders liggen. Dat komt omdat je op grond van de Terms of Service van het sociale netwerk niet alleen Facebook een gebruiksrecht op je foto’s geeft, maar ook anderen. Althans:

you grant us a non-exclusive, transferable, sub-licensable, royalty-free, worldwide license to use any IP content that you post on or in connection with Facebook . (…) When you publish content or information using the Public setting, it means that you are allowing everyone, including people off of Facebook, to access and use that information, and to associate it with you (i.e., your name and profile picture).

De ‘public’ setting wil zeggen dat iedereen erbij kan, dus niet alleen een door jou gekozen beperkte groep. Volgens de regels van Facebook mogen anderen die informatie dan opvragen. Of herpubliceren in kopievorm op Facebook ook mag, is een ander verhaal. Dat staat er niet bij, en de gewoonte op Facebook is dat je foto’s herpubliceert door ze te delen via de “Share” functie. Ik kan geen concrete bron vinden van wat Facebook rekent onder ‘use’ maar gezien die gewoonte vermoed ik dat Facebook het niet de bedoeling vindt dat je foto’s downloadt en opnieuw uploadt.

Op grond van je portretrecht is er overigens weinig aan te doen. Als je als ouder zelf foto’s van je kind publiceert, kun je portretrecht verder vergeten wanneer een ander de foto gebruikt binnen de licentie die je er zelf bij zette.

Arnoud