15/04/2019
1. Inleiding
Privacykwesties met betrekking tot cookies zijn sinds de GDPR en de aankomende E-Privacyrichtlijn een belangrijke vraagstuk. Veel persoonlijke gegevens die door cookies worden verzameld vallen namelijk onder de GDPR, zoals een IP-adres. Het uitgangspunt van de GDPR is dat de betrokkenen de controle over deze persoonsgegevens in sterke mate behouden.
Vooralsnog zijn er onduidelijkheden over de bepalingen in de GDPR, waaronder het verkrijgen van toestemming van betrokkene(n) om de persoonsgegevens te verwerken. Het gebruik van cookies is niet verboden onder de GDPR, maar meestal zou de gebruiker hiervoor zijn of haar toestemming moeten geven. Of het een geldige toestemming is, verschilt per geval en zou case-by-case beoordeeld moeten worden. Dit roept vragen op; zoals welke manieren er toegelaten zijn en welke niet met betrekking tot het verkrijgen van uitdrukkelijke toestemming voor cookies. In verschillende rechtbanken gaat men op zoek naar antwoorden.
De Duitse rechter heeft in de zaak tussen de Duitse consumentenbond en de loterij-organisatie Planet49 aan de Europese Hof van Justitie om uitleg gevraagd over de interpretatie van het verkrijgen van toestemming om persoonsgegevens door te geven aan commerciële partners en toestemming voor het gebruik van cookies.
2. Stap terug: Wat zijn cookies?
Cookies zijn kleine tekstbestanden die door websites/apps in browsers/apparaten van gebruikers worden geplaatst. Cookies hebben verschillende doelen. Websites kunnen cookies gebruiken om rekening te houden met de opgeslagen voorkeuren van de gebruiker/bezoeker. Denk bijvoorbeeld aan taalvoorkeuren, wachtwoorden en om inloggegevens. Zo hoef je niet iedere keer je inloggegevens in te voeren of de taal van website/ app te veranderen.
Je hebt ook cookies die persoonlijkere gegevens verwerken: cookies die bijhouden welke webpagina’s je hebt bezocht en dus je internet gedrag volgen. Als je ooit een product van een webshop hebt gekocht of bekeken en vervolgens advertenties van vergelijkbare producten op andere websites ziet, ben je dus slachtoffer van de ingrijpendere cookies.
3. De zaak tussen Duitse consumentenbond en loterij organisatie Planet49
In deze zaak gaat het om de vraag of er een geldige toestemming is verkregen voor het gebruik van cookies en het doorspelen van de persoonsgegevens aan de commerciële partners. De Partijen in deze zaak zijn de Duitse consumentenbond en de loterij-organisatie Planet 49. Planet 49 bood in september 2013 een online loterij-service aan. Geïnteresseerden konden (gratis) meedoen met de loterij door zich te registreren. Het registratieformulier vroeg gebruikers om een vakje aan te vinken, zodat Planet49 de persoonsgegevens kon delen met commerciële partners. Het aanvinken van het vakje was verplicht om deel te nemen aan de loterij. Ook was er een tweede vakje vooraf aangevinkt, waardoor gebruikers toelieten dat er cookies worden gebruikt. Mocht de gebruiker het niet willen dat er cookies werden gebruikt, konden ze dit voor elkaar krijgen door het vinkje uit te vinken. Dit had geen gevolgen voor de deelname aan de loterij.
De Duitse rechter heeft voor deze zaak om interpretatie gevraagd bij de Europese Hof van Justitie (hierna: HvJ). Lidstaten van de Europese Unie kunnen dit doen, als er onduidelijkheid bestaat over de interpretatie van een Unie recht. De Advocaat Generaal Maciej Szpunar heeft, alvorens er een definitieve beslissing werd genomen door de HvJ, een advies uitgebracht met betrekking tot deze zaak.
4. Advies van Advocaat-Generaal Maciej Szpunar
De loterij-aanbieder was van mening dat de toestemming om cookies te plaatsen, duidelijk was. Daar de gebruikers ook nog actief op een participatieknop moesten drukken om mee te doen aan de loterij. Szpunar gaat daar niet in mee en zegt dat de handeling om toestemming voor cookies te geven los moet staan van alle andere acties. Net als dat het blijvend gebruikmaken van een site geen toestemming geeft voor het plaatsen van cookies, geeft de deelname aan een loterij ook geen toestemming voor het plaatsen van cookies, stelt Szpunar.
Volgens Szpunar biedt een vooraf aangevinkt vak geen geldige actie voor toestemming krachtens de GDPR of de E-Privacyrichtlijn. Daarnaast is de toestemming van de gebruikers niet “apart” gevraagd. Gebruikers geven op deze manier toestemming voor de cookies door alleen op de knop “deelnemen” te klikken (tenzij gebruikers het vakje uitzetten). Ook zijn gebruikers niet op de hoogte gebracht van de mogelijkheid om het vakje uit te schakelen. Szpunar vermeldt dat op deze wijze de toestemming voor cookies wordt gepresenteerd als een aanvullende toestemming die gebruikers moeten doorlopen als ze willen deelnemen, terwijl in feite twee afzonderlijke toestemmingen (voor de cookies en voor de deelname aan de loterij) op een gelijke manier moet worden gepresenteerd.
Met betrekking tot het vinkje voor het delen van gegevens aanvaardt de Advocaat-Generaal dat de toestemming een opt-in-toestemming is. Dit omdat het vakje niet vooraf is aangevinkt. Aangezien het onderliggende doel van de loterij is om persoonsgegevens aan commerciële partners te verkopen, is toestemming nodig voor deelname aan de loterij. Het verzamelen en gebruiken van persoonsgegevens in ruil voor een (gratis) dienst moet dus gebaseerd zijn op een toestemming.
Ten slotte dient de gebruiker duidelijke informatie over het gebruik van cookies te krijgen, met inbegrip van informatie met betrekking tot de levensduur van elk cookie en alle derden die toegang hebben tot de cookies.
5. Definitieve beslissing Europese Hof van Justitie
Helaas moeten we nog wachten op de definitieve beslissing van de HvJ. Het is aan de rechters van de HvJ om het advies van de Advocaat-generaal Szpunar te volgen of een andere uitspraak te doen. Het valt wel degelijk op dat de verwijzende Duitse rechter geen vragen heeft gesteld over het vinkje voor het uitwisselen van gegevens naar commerciële partners. De HvJ is daarom niet verplicht dit punt te behandelen in zijn definitieve beslissing.
6. Conclusie
Maakt je website/app gebruik van cookies? Zorg ervoor dat het vakje niet vooraf is ingevuld. Heb je voor andere onderwerpen op je site de toestemming van de gebruiker nodig? Vraag dit apart en niet gelijk met de toestemming voor de cookies. Probeer daarnaast zo transparant mogelijk te zijn naar de gebruiker/bezoeker toe met betrekking tot het gebruik van cookies (welke cookies worden er gebruikt en welke persoonsgegevens worden hierbij verwerkt?). Je kan dit bereiken met een duidelijke en eenvoudige cookie verklaring en privacy verklaring.
Geschreven door Duygu Öztürk
