Bijgewerkt op: 4 okt 2019
Cookies en de regelgeving die daarop betrekking heeft zijn voor menigeen een doorn in het oog. Consumenten hekelen al jaren de zogeheten ‘cookiewall’ en voor ondernemers is lang niet altijd duidelijk wat er op dit gebied nu precies wél en wat niet mag. Het Europese Hof van Justitie heeft nu in een spraakmakend arrest enkele openstaande vragen omtrent cookies beantwoord. Met name is antwoord gegeven op de vraag wanneer iemand rechtsgeldig toestemming geeft voor het gebruik van cookies.
Cookies zijn er in verschillende soorten en maten. Voor functionele cookies (cookies die de website goed laten werken) was toestemming nooit vereist. Voor zogeheten tracking cookies (cookies die o.a. het surfgedrag van mensen vastleggen) wél.
In de casus die voorlag bij het Hof ging het om het volgende. Planet49 is een van origine Duitse website die online reclameloterijen verzorgt, in dit geval voor een Apple Macbook. Mensen die deel wilden nemen aan de loterij, moesten hun naam en adresgegevens achterlaten. Hierbij waren twee selectievakjes te zien, waarvan er één was aangevinkt en één niet. Het ging hier om het al aangevinkte selectievakje. Hiermee gaven deelnemers toestemming voor het plaatsen van cookies waarmee hun surf- en gebruiksgedrag op websites kon worden gemonitord.
Een Duitse consumentenorganisatie spande een rechtszaak aan tegen Planet49 omdat zij vond dat het al aangevinkte vakje voor toestemming niet voldeed aan de geldende regelgeving. De lagere rechters gingen niet mee in dit standpunt, aangezien de gebruiker wist dat hij dit vakje kon “uitvinken” en de mededeling over (het gebruik van) cookies helder en duidelijk was opgenomen (er kon doorgeklikt worden voor meer informatie).
De hoogste Duitse rechter stelde vervolgens vragen aan het Hof om duidelijkheid te krijgen over de uitleg van het begrip ‘toestemming’ in de zin van verschillende Europese privacy regels. Want voldoet het standaard aangevinkte selectievakje nu wel of niet aan de criteria voor het geven van rechtsgeldige toestemming?
Het Hof overweegt dat voor de uitleg van het begrip “toestemming” niet alleen de letterlijke bewoording toereikend is. Alle richtlijnen spreken immers van het voorschrift dat de gebruiker (een variatie op) “toestemming heeft verleend”. Uit de context van de bepalingen volgt volgens het Hof evenwel – zoals ook al vaker is geoordeeld – dat het geven van toestemming een actieve gedraging behelst. Een standaard aangevinkt vakje impliceert dit niet. Het is ook praktisch onmogelijk om te beoordelen of iemand actief toestemming heeft verleend door een selectievakje niet ‘uit te vinken’. Rechtsgeldige toestemming is met deze methode dus niet verkregen. Toestemming moet specifiek zijn – aldus het Hof – en het enkele feit dat een gebruiker op de knop voor deelname aan de reclameloterij heeft gedrukt, kan niet aangemerkt worden als toestemming voor (ook) het plaatsen van cookies.
Overigens merkt het Hof nog op dat het voor deze beoordeling niet uitmaakt of de informatie die verzameld wordt persoonsgegevens bevat of niet. Het Unierecht beoogt een gebruiker te beschermen tegen een inbreuk in zijn privéleven, ongeacht of dit nu betrekking heeft op zijn persoonsgegevens.
Ook gaat het Hof in op de vraag of een website informatie dient te verschaffen over de termijn gedurende welke cookies actief blijven (en er dus informatie verzameld wordt). Hoewel dit niet expliciet opgenomen is in de ‘lijst’ met informatie die een website-eigenaar moet verstrekken, overweegt het Hof dat het in dat kader gaat om een limitatieve opsomming. Ten behoeve van de eerlijke en heldere informatievoorziening en gegevensverwerking moet ook deze informatie wel degelijk worden verschaft.
Kortom, vooraf aangevinkte vakjes met toestemming zijn voor cookies uit den boze. Algemeen aangenomen wordt (en bekend is) dat dit niet beperkt is tot cookies, maar voor meer zaken geldt, zoals ook eerder al gebleken is in bijvoorbeeld zaken over het online verlenen van toestemming voor het gebruik van persoonsgegevens (via en/of met verwijzingen naar privacystatements en dergelijke), waaronder ook e-mailadressen. Het is dan ook belangrijk om bij de inrichting van een website en het gebruik van opt-in en opt-out bepalingen en kaders goed na te gaan óf er toestemming moet worden verkregen en hóe die toestemming moet worden verkregen.
Heeft u vragen over cookies, cookie- of privacystatements of andere vraagstukken die hiermee te maken hebben? Neem dan contact op met onze specialisten Sebastiaan van Wijk (vanwijk@dayonelegal.nl) en Charissa Koster (koster@dayonelegal.nl)
+31 6 535 385 76 | koster@dayonelegal.nl