Privacywaakhonden vs. Facebook: wie is verantwoordelijke?

De Privacycommissie, de Belgische zusterorganisatie van “ons” College Bescherming Persoonsgegevens (CBP), heeft het wereldnieuws gehaald met een procedure tegen Facebook. Reden daarvoor is dat de netwerksite niet alleen haar eigen gebruikers volgt door middel van cookies, maar ook niet-gebruikers (ja, die zijn er ook – steeds meer zelfs). Anders dan gebruikers hebben de laatsten daar geen toestemming voor gegeven, en dat is een overtreding van de Belgische implementatie van de Europese Privacyrichtlijn (waar ook de Nederlandse Wet bescherming persoonsgegevens op gebaseerd is). Ook het CBP doet momenteel onderzoek naar Facebook.

Het standaardverweer van Facebook in dit soort kwesties is dat zij zich niet aan de lokale – in dit geval Belgische – privacywetgeving hoeft te houden, omdat de verantwoordelijke voor de verwerking van persoonsgegevens gevestigd is in Ierland. De verantwoordelijke is de partij die, kort gezegd, vaststelt hoe en met welk doel de persoonsgegevens worden verzameld, opgeslagen et cetera, en er daarbij voor moet zorgen dat dit conform de wet gebeurt. Ierland is overigens niet toevallig als vestigingsplaats gekozen: de Ierse privacyautoriteit staat niet bepaald bekend om haar actieve handhaving van de privacywetgeving (hoewel het gunstige fiscale klimaat ook een rol zal spelen).

Ook in Nederland verweerde Facebook zich onlangs met dit argument. Een gebruiker had zich met een bepaald verzoek tegen het bedrijf tot de rechter gericht. Uit het vonnis blijkt niet wat het verzoek inhield, omdat de rechter niet eens toekwam aan de behandeling van het verzoek: hij accepteerde namelijk het verweer van Facebook.

Dat oordeel van de rechtbank lijkt op het eerste gezicht onjuist. De Nederlandse privacywetgeving is namelijk van toepassing op elke verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Facebook heeft een vestiging in Nederland – die zich met name bezighoudt met de verkoop van advertentieruimte, dé reden waarom de cookies worden geplaatst – en lijkt zodoende onder de Nederlandse privacyregels te vallen. Dat is door het Europese Hof voor Google en haar lokale vestigingen bevestigd in het “vergeet-arrest”.

Er bestaat echter een belangrijk verschil tussen Google en Facebook: anders dan Google heeft Facebook wél een verantwoordelijke aangewezen in Europa, namelijk de Ierse dochter. De Nederlandse vestiging van Facebook is geen dochter van die Ierse vennootschap, maar van het Amerikaanse Facebook Global Holdings II LLC. De Nederlandse Facebook-vestiging is daarmee strikt genomen dus geen vestiging van de verantwoordelijke.

De Facebookgebruiker die het verzoek bij de rechter indiende had er vermoedelijk goed aan gedaan niet alleen de Nederlandse dochter aan te spreken, maar ook de Amerikaanse moeder en de Ierse dochter. Wellicht had een wat actievere houding in de procedure hem ook goed gedaan: uit het vonnis blijkt dat hij zich wat laks heeft opgesteld, en daar heeft Facebook goed gebruik van gemaakt. De Privacycommissie – en als de uitkomsten van het onderzoek daartoe nopen, ook het CBP – zal, met de ogen van de (privacy)wereld op zich gericht, ongetwijfeld beter haar best gaan doen.

Vragen?