Toepasselijkheid van de Europese Privacyrichtlijn

De Groep 29 stelt in haar advies dat de Privacyrichtlijn of de Richtlijn gegevensbescherming in de meeste gevallen van toepassing is op aanbieders van socialenetwerkdiensten, ook als hun hoofdkantoor buiten de Europese Economische Ruimte is gevestigd. Het gebruik van cookies en soortgelijke software door een online dienstverlener kan namelijk worden beschouwd als het gebruik van middelen op het grondgebied van de lidstaat, en de wetgeving inzake gegevensbescherming van de betreffende lidstaat is er dan ook op van toepassing. Artikel 4, lid 1, c) van de richtlijn gegevensbescherming bepaalt namelijk dat de wetgeving inzake gegevensbescherming van een bepaalde lidstaat zal van toepassing zijn wanneer de online dienstverlener gebruikmaakt van apparatuur die zich op het grondgebied van een lidstaat bevindt. In dit geval moet volgens artikel 4, lid 2, de aanbieder van de socialenetwerkdienst een op het grondgebied van de betrokken lidstaat gevestigde vertegenwoordiger aanwijzen.

Wat de verantwoordelijke voor de verwerking betreft, voorziet het advies in een genuanceerd beeld.

Aanbieders van sociale netwerkdiensten zijn voor de verwerking verantwoordelijken aangezien zij de middelen verstrekken voor de verwerking van gebruikersgegevens en alle fundamentele diensten aanbieden betreffende gebruikersbeheer (bijvoorbeeld het openen en verwijderen van accounts). Aanbieders van sociale netwerkdiensten bepalen ook welk gebruik kan worden gemaakt van gebruikersgegevens voor reclame- en marketingdoeleinden, waaronder advertenties van derden.

Aanbieders van applicaties kunnen eveneens verantwoordelijken voor de verwerking zijn indien zij applicaties ontwikkelen als aanvulling op de diensten van de sociale netwerkdienst en gebruikers besluiten een dergelijke applicatie te gebruiken.

Gebruikers van een sociale netwerkdienst zullen in de meeste gevallen worden beschouwd als betrokken personen. De richtlijn gegevensbescherming legt aan natuurlijke personen die persoonsgegevens verwerken in het kader van “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden” niet de verplichtingen van een voor de verwerking verantwoordelijke op (de zogenaamde vrijstelling voor ‘huishoudelijke doeleinden’). In bepaalde gevallen echter, met name wanneer er geen sprake meer is van loutere huishoudelijke doeleinden, zal deze vrijstelling niet van toepassing zijn, en zal de gebruiker beschouwd worden als een verantwoordelijke voor de verwerking. Dit zal bijvoorbeeld het geval zijn wanneer een gebruiker van socialenetwerkdiensten namens een bedrijf of organisatie optreedt of de diensten gebruikt voor commerciële, politieke of charitatieve doeleinden. Ook wanneer gebruikers informatie over andere derde personen gaan verwerken, zullen zij als verantwoordelijke voor de verwerking kunnen worden beschouwd