Ophef over Facebook tracking-pixel: mag je ‘m nog gebruiken?

Wat speelde er?

Het ging om een Oostenrijkse nieuwswebsite. De website maakte gebruik van Facebook Connect, waardoor je met je Facebook account op de website kon inloggen. Daarnaast gebruikten ze een Facebook-pixel op de website, om tracking en measurement mogelijk te maken. Hiermee werd o.a. het IP-adres en cookiedata doorgestuurd naar Facebook. Deze persoonsgegevens zou volgens de klager worden doorgestuurd naar de VS. De toezichthouder ging hierin mee.

Wat is het probleem?

Het Hof van Justitie van de Europese Unie vernietigde in juli 2020 het ‘Privacy Shield’, het besluit waarmee de doorgifte van persoonsgegevens tussen de EU en de VS werd geregeld. Het Hof oordeelde dat het Privacy Shield onvoldoende waarborgen bood tegen toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten.

Ten tijde van de Oostenrijkse klacht was het Privacy Shield al afgekeurd. Andere aanvullende waarborgen die de doorgifte legaal zouden maken (SCC’s), waren te laat ingesteld. De Oostenrijkse toezichthouder oordeelde daarom dat er een inbreuk van de AVG had plaatsgevonden. Er is echter geen boete opgelegd.  

De websitehouder is inmiddels volledig gestopt met het gebruik van de Facebook-tools.

Wat betekent dit besluit voor jou?

Is het gebruik van de Facebook-pixel nu verboden? Deze vraag is helaas niet met een simpele ‘ja’ of ‘nee’ te beantwoorden. Deze zaak is vergelijkbaar met de verschillende Google-Analytics zaken, waarbij meerdere toezichthouders hebben geoordeeld dat het gebruik hiervan in de specifieke situaties in strijd is met de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft in haar handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod.

Maar ook op basis van deze besluiten kun je nog niet direct concluderen dat het gebruik van de Facebook-pixel onder alle omstandigheden in strijd is met de AVG. De besluiten zijn gericht aan websitehouders en zien toe op specifieke omstandigheden én specifieke toepassingen door deze websitehouders. Dat wil zeggen: de toezichthouders beoordelen dit per situatie. Daarnaast ligt er ook een concept klaar in Europa voor een nieuw Privacy Shield. Daarmee zou vanuit juridisch-technisch perspectief datadoorgifte naar de VS weer in lijn met de AVG zijn. Toch doe je er goed aan om intern kritisch na te denken en af te wegen of je data door wil geven naar de VS (zoals met de Facebook-pixel) én op welke manier je dit doet. De discussie over het beschermingsniveau van de persoonsgegevens in de VS zal namelijk altijd blijven bestaan. Verwerk daarom alleen persoonsgegevens die echt nodig zijn én tref indien nodig aanvullende waarborgen.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief. 
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl. 
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Naomi van der Louw

Voormalig legal counsel bij DDMA