Het Hof van Justitie van de EU (hierna: ‘het Hof’) heeft zich recentelijk uitgesproken over de wijze waarop een websitebezoeker toestemming moet verlenen voor het plaatsen van tracking cookies in het zogenaamde Planet49-arrest (C-673/17). Hieronder volgt een bespreking van de belangrijkste punten uit dit arrest en wat dat in de praktijk betekent.
Cookies
Het Hof definieert cookies als bestanden die de websiteaanbieder op de computer van de websitegebruiker plaatst en die bij een volgend bezoek aan deze website opnieuw beschikbaar zijn om het surfen op internet of het verrichten van transacties te faciliteren of om gegevens over het gebruikersgedrag te verkrijgen.
Feiten
Planet49 heeft een reclameloterij georganiseerd op haar website. Gebruikers die wilden deelnemen, moesten hun postcode, naam en adres invoeren. Onder de invoervelden stonden twee mededelingen met daarbij selectievakjes. Door middel van het eerste selectievakje – dat niet standaard was aangevinkt – konden gebruikers toestemming geven om benaderd te worden door sponsors en partners van Planet49 om hen op de hoogte te houden van aanbiedingen. Door middel van het tweede selectievakje – dat wel standaard was aangevinkt – gaven gebruikers toestemming voor het plaatsen van cookies om hun surf‑ en gebruikersgedrag op websites van reclamepartners van Planet49 te analyseren. Deelname aan de reclameloterij was alleen mogelijk wanneer ten minste het eerste selectievakje was aangevinkt.
De Duitse federatie van consumentenorganisaties voerde voor de Duitse rechter aan dat het geven van toestemming door middel van beide selectievakjes niet voldeed aan de wettelijke vereisten. Uiteindelijk belandde de zaak bij het Bundesgerichtshof die een aantal prejudiciële vragen aan het Hof stelde, onder meer omdat zij twijfelde of Planet49 rechtsgeldig toestemming verkreeg voor de plaatsing van cookies.
Omdat de Privacyrichtlijn 95/46 gedurende deze procedure is vervangen door de Algemene Verordening Gegevensbescherming (‘AVG’), werden de gestelde vragen zowel op grond van Privacyrichtlijn als de AVG beantwoord.
Persoonsgegevens
Hoewel in deze zaak niet betwist werd dat er door middel van de cookies in kwestie persoonsgegevens werden verwerkt, oordeelt het Hof dat dit niet relevant is voor de vraag of toestemming moet worden gevraagd voor de plaatsing daarvan. De Telecommunicatierichtlijn 2002/58 maakt immers geen onderscheid tussen persoonsgegevens en andere gegevens.
In Nederland zijn de voor deze zaak relevante bepalingen uit de Telecommunicatierichtlijn overigens geïmplementeerd in de Telecommunicatiewet.
Toestemming
Het Hof constateert verder dat artikel 5(3) Telecommunicatierichtlijn geen aanwijzingen bevat over de wijze waarop deze toestemming moet worden verleend. Uit de overwegingen van deze richtlijn blijkt wel dat het begrip toestemming dezelfde betekenis heeft als het toestemmingsbegrip in de Privacyrichtlijn respectievelijk de AVG.
Dit betekent dat het moet gaan om een “vrije, specifieke en op informatie berustende wilsuiting”. Met de eis van een wilsuiting wordt volgens het Hof duidelijk naar een actieve en niet naar een passieve gedraging verwezen. Toestemming door middel van een standaard aangevinkt selectievakje impliceert echter geen actieve gedraging van de gebruiker. Het kan immers niet worden uitgesloten dat de gebruiker de informatie bij het standaard aangevinkte vakje niet heeft gelezen of dat hij dit vakje niet heeft opgemerkt voor hij zijn activiteiten op de bezochte website voortzette.
Het toestemmingsbegrip in de AVG is zelfs nog strikter dan de Privacyrichtlijn. In de AVG wordt toestemming omschreven als een “vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene”. Aan het vereiste van ondubbelzinnigheid kan volgens het Hof eveneens uitsluitend worden voldaan wanneer de gebruiker met een actieve gedraging duidelijk blijk geeft van zijn toestemming. In overweging 32 staat bovendien uitdrukkelijk dat “stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit” niet als toestemming mogen gelden.
Het Hof voegt nog toe dat de wilsuiting specifiek moet zijn in die zin dat deze specifiek op de verwerking van de betrokken gegevens gericht moet zijn. De toestemming voor de plaatsing van cookies kan dus niet worden afgeleid uit een algemene wilsuiting die op iets anders betrekking heeft. In deze zaak betekende dit dat de gebruiker geen rechtsgeldige toestemming had verleend voor het plaatsen van cookies door op de knop voor deelname aan de georganiseerde reclameloterij – het eerste selectievakje – te klikken. Er moet dus door middel van een apart selectievakje toestemming voor het plaatsen van cookies worden verleend. Het Hof lijkt zich met dit oordeel aan de sluiten bij de conclusie van A-G Szpunar die opmerkte dat toestemming niet alleen actief, maar ook afzonderlijk moet worden gegeven. De activiteit van een gebruiker op internet (in dit geval: deelname aan een loterij) en het geven van toestemming kunnen in zijn ogen geen deel uitmaken van dezelfde handeling.
Of het voorgaande ook betekent dat er per cookiesoort (bijv. tracking cookies, analytische cookies, third party cookies) apart toestemming moet worden verleend, zoals tegenwoordig op veel websites gebeurt, volgt ons inziens niet specifiek uit dit arrest.
Al met al is het Hof van oordeel dat de toestemming van de gebruiker voor het plaatsen en raadplegen van cookies op zijn apparatuur niet rechtsgeldig is verleend, wanneer er gebruik is gemaakt van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken indien hij weigert zijn toestemming te verlenen.
Informatieplicht
Tot slot oordeelt het Hof nog dat de websiteaanbieder gebruikers onder meer moet informeren over de vraag hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben. Deze informatieverplichting geldt ook wanneer er door middel van de cookies geen persoonsgegevens worden verwerkt.
In een situatie waarin de cookies, zoals in onderhavige zaak, bedoeld zijn om informatie te verzamelen voor reclamedoeleinden met betrekking tot producten van partners van de organisator van een reclameloterij, maken de vragen hoelang de cookies actief blijven en of derden al of niet toegang tot deze cookies kunnen hebben, immers deel uit van de duidelijke en volledige informatie die overeenkomstig artikel 5(2)Telecommunitierichtlijn aan de gebruiker moet worden verstrekt.
Deze uitlegging wordt volgens het Hof bevestigd door artikel 13(2), sub a, AVG waarin is bepaald dat de verwerkingsverantwoordelijke, om een behoorlijke en transparante verwerking te waarborgen, de betrokkene informatie moet verstrekken over met name de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die periode..
Wat betekent dit voor de praktijk?
Wij raden websiteaanbieders aan om hun toestemmingsteksten voor het plaatsen van cookies nog eens goed tegen het licht te houden, omdat er mogelijk niet op rechtsgeldige wijze toestemming wordt verkregen voor de plaatsing daarvan. Dit kan leiden tot forse boetes.
Let wel: niet voor alle soorten cookies is toestemming van de gebruikers vereist. Voor het plaatsen van functionele cookies of andere cookies die een minimale inbreuk op de privacy van de gebruikers maken, is namelijk geen toestemming vereist. Voor de plaatsing van tracking cookies, waarmee het surfgedrag van websitebezoekers langere tijd over meerdere websites gevolgd kan worden, is wel altijd toestemming vereist. Voor analytische cookies verschilt dit van geval tot geval.
Hoe moet een toestemmingsverklaring er dan concreet uitzien?
Op de website van de Autoriteit Consument & Markt (de toezichthouder op de Telecommunicatiewet) is daarvan een goed voorbeeld te vinden:
|
Naam | Doel | Geldigheid |
nmstat | Cookie wordt geplaatst door het webanalysepakket SiteImprove. Hiermee kan worden bepaald of de bezoeker nieuw is of al eerder de site heeft bezocht. | 1000 dagen |
siteimproveses | Cookie wordt geplaatst door het webanalysepakket SiteImprove. Hiermee wordt vastgelegd op welke volgorde pagina’s zijn bekeken. | sessie |
Wanneer ervan uit wordt gegaan dat er toestemming vereist is voor de plaatsing van deze cookies – hetgeen volgens het ACM niet het geval is – zou er onder deze tekst een zin geplaatst kunnen worden met de volgende strekking:
[ ] Door dit vakje aan te kruisen, verleen ik toestemming voor de plaatsing van de hiervoor vermelde webanalyse cookies.
Verder heeft het Hof zich in dit arrest niet uitgelaten over de vraag wat er precies onder “vrije” toestemming wordt verstaan. Dit is van belang voor de vraag of websiteaanbieders nu wel of geen gebruik mogen maken van cookiewalls. Eerder publiceerde de Autoriteit Persoonsgegevens een opinie waarin zij aangaf dat cookiewalls volgens haar niet zijn toegestaan. Daarover kunt u hier meer lezen.
Het Hof heeft zich echter nog niet over deze vraag uitgelaten. Het is dan ook niet zeker dat deze interpretatie van de Nederlandse privacy toezichthouder terecht is. Helaas merkt het Hof in deze zaak expliciet op dat de vraag of er wel sprake is van “vrije” toestemming voor de plaatsing van tracking cookies, doordat gebruikers alleen kunnen deelnemen aan de loterij (oftewel de onderliggende service) als zij ook toestemming geven voor de plaatsing van tracking cookies, het bestek van deze procedure te buiten gaat.
Er blijft kortom nog steeds onzekerheid bestaan over de vereisten van rechtsgeldige toestemming. In dit arrest heeft het Hof weliswaar verheldert wat er wordt verstaan onder “ondubbelzinnige”, “specifieke” en “geïnformeerde” toestemming, maar het Hof heeft niet verduidelijkt welke mate van autonomie een gebruiker moet hebben bij de keuze om al dan niet toestemming te geven om te kunnen spreken van “vrije” toestemming.
De verwachting is echter dat het Hof zich hier binnenkort wel over zal uitlaten in de Orange Romania Zaak (C-61/19), waarin begin dit jaar een tweetal prejudiciële vragen aan het Hof zijn gesteld, waaronder:
“Aan welke voorwaarden moet worden voldaan om een wilsuiting te kunnen beschouwen als een vrije wilsuiting in de zin van artikel 2, onder h), van richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens?”
De e-Privacyverordening zal de Telecommunicatierichtlijn op niet al te lange termijn gaan vervangen. Dit is relevant, omdat dit arrest van het Hof nu nog is gebaseerd op een uitleg van de Telecommunicatierichtlijn en niet op de komende e-Privacyverordening. De tekst van de e-Privacyverordening is echter nog steeds niet definitief vastgesteld. Het laatste tekstvoorstel van de Raad is op 17 oktober 2019 gepubliceerd. De verwachting is dat de definitieve tekst van de Raad nog dit jaar wordt vastgesteld, waarna de triloog kan beginnen. Dit arrest zal waarschijnlijk effect gaan hebben op de lopende onderhandelingen over de tekst van de e-Privacyverordening.
Meer weten?
Wilt u meer weten over cookies? Cookiewalls? Het vragen van toestemming? Of over de aankomende e-Privacyverordening? Neem dan contact op met ons team.