Verwerker en verwerkingsverantwoordelijke: het is niet altijd even eenvoudig vast te stellen wie welke rol vervult. Soms rijst zelfs de vraag, óf er wel een rol vervuld wordt. Zo illustreert ook de zaak rondom IAB Europe: in februari 2022 oordeelde de geschillenkamer van de Belgische toezichthouder dat IAB Europe met het ontwikkelen van een methode om toestemming voor reclame cookies op te slaan niet als verwerker maar als verwerkingsverantwoordelijke handelde en dat ze de AVG overtrad. IAB Europe bestreed bij het Hof van beroep Brussel onder meer deze kwalificatie als verwerkingsverantwoordelijke. Dit leidde tot prejudiciële vragen aan het Hof van Justitie van de Europese Unie (HvJEU) over onder meer het begrip verwerkingen verantwoordelijke. Welke lessen kunnen we hieruit trekken?
IAB Europe is een in België gevestigde brancheorganisatie. IAB Europe lanceerde toen het verplicht werd om toestemming voor reclame cookies te vragen het zogenaamde Transparency and Consent Framework (“TCF”). Met behulp van het TCF werden de cookievoorkeuren van een webbezoeker opgeslagen in een zogenoemde ‘Transparency and Consent string (TC-string)’, waaruit door website eigenaren kon worden afgeleid of toestemming is gegeven voor, of bezwaar is gemaakt tegen gerichte online advertenties met behulp van reclame cookies. De online advertentie praktijk van Real Time Bidding (“RTB”) kon zo blijven bestaan en uitgevers maken er massaal gebruik van. RTB is gebaseerd op het gebruik van tracking cookies, waarbij je als adverteerder via een online marktplaats kunt bieden op voor jouw interessante webbezoekers (profielen) om je advertentie te tonen. Voor deze reclame moet de gebruiker wel eerst toestemming geven en dat wordt onthouden met behulp van de TC-string.
Al in 2022 legde de Belgische toezichthouder IAB Europe een boete op, omdat de TC-string een persoonsgegeven is en IAB Europe als verwerkingsverantwoordelijke niet volgens de AVG gehandeld zou hebben (1). IAB maakte bezwaar en ging in beroep. Het Hof moest onder meer kijken of een TC-string een persoonsgegeven is en of IAB ook verantwoordelijke is voor de verwerking in de zin van de AVG.
In de zaak was de rechter er niet zeker van of een TC-string onder de definitie van persoonsgegeven viel en, als dit het geval zou zijn, IAB Europe dan de verwerkingsverantwoordelijke was. De Belgische rechter stelde het HvJEU dan ook twee prejudiciële vragen: rechtsvragen van een rechter aan de Hoge Raad, ten behoeve van de uitleg van een rechtsregel.
Het Hof oordeelde dat een TC-string inderdaad een persoonsgegeven is, omdat een gebruiker door andere gegevens (zoals een IP-adres) te koppelen, geïdentificeerd kon worden. Dat IAB Europe zowel zelf de koppeling niet kon maken, als geen toegang had tot de gegevens die door zijn leden werden verwerkt, was volgens het Hof irrelevant, aangezien IAB Europe haar leden blijkbaar kon verplichten om op verzoek informatie te verstrekken waarmee zij gebruikers konden identificeren. Kortom: een contractuele verplichting kan het middel vormen om met persoonsgegevens te maken te hebben; ook als je niet rechtstreeks over de gegevens beschikt.
Nu de TC-string als persoonsgegeven werd gekwalificeerd, resteerde de vraag of IAB Europe dan ook de verwerkingsverantwoordelijke was. Ook dit beantwoorde het Hof bevestigend: IAB Europe stelde samen met haar leden het doel en de middelen voor de verwerking vast. Het feit dat IAB Europe zelf geen rechtstreekse toegang heeft tot de TC-strings en de persoonsgegevens die haar leden verwerken, deed hier volgens het Hof niet aan af.
Je doet er als organisatie dus goed aan om je samenwerkingen nog eens onder de loep te nemen. Als leveranciers of verwerkers een te grote vinger in de pap hebben, en zelf beslissingen kunnen nemen ten aanzien van het doel en de middelen van de verwerking, is er misschien sprake van gezamenlijke verwerkingsverantwoordelijkheid. Om te bepalen of in een concreet geval sprake is van een gezamenlijke verwerking, bieden de guidelines 07/2020 (versie 2.0, 7 juli 2021) van de European Data Protection Board (EDPB) handvatten. Belangrijk criterium om te bepalen of er sprake is van gezamenlijke verwerkingsverantwoordelijkheid is of de gegevensverwerking niet mogelijk zou zijn zonder de participatie van beide partijen, in die zin dat de verwerkingen door elk van de partijen onlosmakelijk met elkaar zijn verbonden. De EDPB illustreert dit aan de hand van een aantal voorbeelden zoals, een gezamenlijk onderzoeksproject van meerdere instellingen of als partijen een gezamenlijk evenement organiseren voor hun respectievelijke achterban, denk bijvoorbeeld aan een klimaatmars.
Wanneer er sprake is van gezamenlijke verwerkingsverantwoordelijkheid, zijn niet alleen de bepalingen van de AVG van toepassing, maar raakt dit ook het onderwerp van aansprakelijkheid. Het is in dergelijke situaties van belang, en gelet op art. 26 AVG ook vereist, een gezamenlijke regeling te treffen. Hierin dienen in ieder geval de verschillende (stadia van) verwerkingen vastgelegd te worden, zodat beide partijen wat betreft de eigen betrokkenheid, aansprakelijkheid en verantwoordelijkheid niet in het duister tasten.