Toestemming
vragen bij third-party-cookies op een wijze die compliant is met privacy
regelgeving? Advocaat-generaal Szpunar, die het Europees Hof van Justitie adviseert over de zaak, zorgt voor opheldering over vooraf aangevinkte
selectievakjes en het bundelen van toestemming aan afname van een dienst
(ofwel: het ‘betalen’ met persoonsgegevens)
Bent
u een websitehouder? Dan zijn de opmerkingen van de advocaat-generaal Szpunar (hierna ‘AG’) wellicht interessant voor u. Recentelijk kwam zijn advies uit
over de zaak tussen de Duitse consumentenbond (Bundersverband der
Verbraucherzentralen) en een loterij-organisator (Planet49). In het advies wordt
meer duidelijkheid gegeven over het vragen van toestemming aan een
internetgebruiker bij het plaatsen van cookies op een wijze die AVG-proof is.
Hoewel
het advies niet bindend is en het Europese Hof zelf nog uitspraak moet doen, wordt
verwacht dat dit advies waarschijnlijk grotendeels gevolgd zal worden.
Casus
De zaak betreft een
websitebezoeker die door middel van een online-registratieformulier op de website
‘dein-macbook.de’ van Planet49 kon aangeven deel te willen nemen aan een
loterij. Afgezien van de knop onderaan het formulier om deelname te bevestigen,
bevatte het formulier ook twee teksten over de verwerking van persoonsgegevens.
Achter die teksten stonden twee selectievakjes, waarvan één voorafgaand was aangevinkt.
In de tekst waarvan het hokje standaard aangevinkt stond, werd de gebruiker om
toestemming gevraagd dat direct na registratie voor de loterij een
webanalysebedrijf werd ingeschakeld zodat Planet49 cookies kon installeren. Hierdoor
kon Planet49 het surf- en gebruiksgedrag op websites van reclamepartners volgen
en konden specifieke advertenties aan de gebruiker worden getoond.
In de tekst waarvan het hokje
niet standaard stond aangevinkt, werd de gebruiker geïnformeerd en om
toestemming gevraagd voor de benadering door sponsoren en partners via e-mail
of sms. De gebruiker kon zelf de gewenste partijen selecteren, maar bij
afwezigheid van keuze voorzag Planet49 in een selectie. Deelname aan de loterij
zonder het aanvinken van dit hokje was niet mogelijk. De gebruiker betaalde dus
eigenlijk met diens persoonsgegevens voor het gebruik van de dienst (in dit
geval: meespelen met de loterij).
Nu is de vraag: is er geldige
toestemming?
Toestemming: vereisten AVG
Het plaatsen van marketing
cookies is alleen toegestaan op voorwaarde dat een internetgebruiker daar toestemming
voor heeft gegeven. Volgens de AVG is toestemming rechtsgeldig als de
toestemming ondubbelzinnig (door middel van een actieve handeling) is, op
informatie berust en wordt gegeven ten aanzien van specifieke doeleinden.
Daarnaast dient de toestemming ‘vrij’ gegeven te zijn.
Bevindingen AG
De AG verduidelijkt dat een selectievakje bij het vragen van
toestemming niet vooraf aangevinkt mag zijn. Ook geeft de AG zijn
zienswijze op de toelaatbaarheid van het bundelen van toestemming aan
loterijdeelname (ofwel: het betalen met persoonsgegevens in ruil voor afname
van een dienst).
Vooraf aangevinkte selectievakjes niet
toegestaan
Volgens de AG mogen selectievakjes bij het vragen van toestemming
niet vooraf aangevinkt staan, omdat toestemming dan niet actief en
ondubbelzinnig is. Het vragen van toestemming dient ook afzonderlijk te
gebeuren: het geven van toestemming mag niet worden verstopt en moet dus
optisch helder zijn. Wanneer er met dezelfde knop akkoord wordt gegeven én voor
deelname aan bijvoorbeeld een loterij én het verwerken van persoonsgegevens, is
van geldige toestemming volgens de AG geen sprake. In het geval van
Planet49 ging het om het plaatsen van cookies. Volgens de AG maakt het
niet uit of de cookies persoonsgegevens verzamelen of andere informatie: de
telecommunicatierichtlijn maakt hier geen onderscheid tussen.
Informeren over third-party-cookies en
voorwaarden toestemming
Verder moet een websitehouder de internetgebruiker duidelijk informeren of
er ook third-party-cookies via de website worden geplaatst en zo ja, welke
derde partijen dat dan zijn en wat de duur van de cookies is. Het moet voor een
internetgebruiker daarnaast duidelijk zijn of toegang tot een bepaalde website
of dienst (in het geval van Planet49: deelnemen aan de loterij), afhankelijk is
van het geven van toestemming.
Betalen met persoonsgegevens
Bij sommige diensten is het geven van toestemming verplicht, anders krijgt
een websitebezoeker geen toegang tot de dienst. Zo ook bij Planet49: er mocht
alleen meegespeeld worden met de loterij als de gebruiker toestemming gaf voor
de benadering door sponsoren en partners via e-mail of sms (= verwerken
persoonsgegevens). Het is in zo’n geval de vraag of er nog wel sprake kan zijn
van een ‘vrij’ gegeven toestemming. Volgens de AVG is het in zulke situaties
van belang om te kijken of de toestemming noodzakelijk is voor de uitvoering
van de overeenkomst.
De AG vindt dat het
verstrekken van persoonsgegevens in ruil voor het mogen sluiten van een overeenkomst
in sommige gevallen is toegestaan. Volgens hem moet naar het onderliggende doel
van het sluiten van de overeenkomst worden gekeken. In de zaak tegen Planet49
konden deelnemers meedoen aan de loterij in ruil voor persoonsgegevens, zodat
Planet49 deze persoonsgegevens kon doorverkopen. Volgens de AG is de
toestemming daarmee noodzakelijk voor Planet49 bij het uitvoeren van de
overeenkomst en daarmee is sprake van vrije toestemming.
Deze conclusie is interessant,
omdat er discussie bestaat of- en in welke gevallen toestemming ‘vrij’ is als
die toestemming als voorwaarde wordt gesteld voor het afnemen van dienst.
Wanneer het Europese Hof het advies van de AG volgt, zou dit er
ook op kunnen duiden dat – in tegenstelling tot het standpunt van de Autoriteit
Persoonsgegevens – de toestemming bij cookiemuren op websites vrij is gegeven wanneer
de website slechts kan bestaan door verkoop van data en de daarmee gepaard
gaande (advertentie)inkomsten (zie ook de recente blog over cookiewalls). Wordt
vervolgd!
https://www.solv.nl/weblog/juridische-eisen-plaatsen-cookies-opgehelderd/21778
