Same law, different lawyers
15 October 2019

HvJEU: Toestemming op het internet vereist ‘opt-in’

Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie (HvJEU) een cruciale uitspraak gedaan die van grote invloed is op de manier waarop toestemming wordt verkregen op het internet. De uitspraak heeft betrekking op zaak C-673/17 (Planet49 – een eerdere post met achtergrondinformatie staat hier (Engels)).

In de Planet49 zaak heeft het Duitse Federale Hof het HvJEU een aantal prejudiciële vragen gesteld met betrekking tot de geldigheid van toestemming voor cookies, geplaatst door een website die een online reclameloterij organiseert. De volgende vragen werden voorgelegd aan het HvJEU:

  • Volstaat een vooraf aangevinkt selectievakje voor het verlenen van rechtsgeldige toestemming voor het plaatsen van cookies?
  • Is relevant of de informatie die wordt opgeslagen of opgevraagd, persoonsgegevens bevat?
  • Moeten gebruikers worden geïnformeerd over de vraag hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben?

Hoewel deze vragen betrekkelijk eenvoudig lijken, moest het HvJEU voor haar beslissing rekening houden met de wisselwerking tussen verschillende bronnen van wetgeving. Het vereiste van toestemming, voorafgaand aan het plaatsen van cookies, vloeit voort uit Richtlijn 2002/58 (ook wel de ePrivacy Richtlijn), maar tegenwoordig kunnen de vereisten voor geldige toestemming worden teruggevonden in de Algemene Verordening Gegevensbescherming (AVG). Om het er niet makkelijker op te maken, komt daar nog bij dat de feiten en de zaak in eerste aanleg plaatsvonden voordat de AVG van toepassing was. Destijds gold Richtlijn 95/46 (ook wel de Richtlijn Gegevensbescherming): om die reden zijn de overwegingen van het HvJEU in beginsel gebaseerd op de bepalingen uit de Richtlijn Gegevensbescherming. De conclusie van het HvJEU over hoe kan worden gekomen tot rechtsgeldige toestemming onder de Richtlijn Gegevensbescherming sluit in beginsel echter –enigszins verrassend – aan bij de definitie van toestemming onder de AVG.

Rechtsgeldige toestemming voor cookies

In zijn uitspraak bevestigt het HvJEU de kernelementen voor rechtsgeldige toestemming, namelijk:

  1. Toestemming moet actief zijn; een passieve gedraging volstaat niet.
  2. Toestemming moet ondubbelzinnig zijn. Volgens het HvJEU “kan aan deze voorwaarde echter uitsluitend worden voldaan wanneer deze betrokkene met een actieve gedraging duidelijk blijk geeft van zijn toestemming”. (Rechtsoverweging 54)
  3. De uitspraak bevestigt ook dat het bieden van de mogelijkheid om toestemming in te trekken door op een aangevinkt vakje weer uit te vinken, niet kan worden aangemerkt als geldige toestemming, omdat “toestemming door middel van een standaard aangevinkt selectievakje geen actieve gedraging van de gebruiker van een website impliceert”. (Rechtsoverweging 54)
  4. Toestemming moet specifiek zijn. Dit houdt in “dat deze precies op de verwerking van de betrokken gegevens gericht moet zijn en niet kan worden afgeleid uit een algemene wilsuiting die op iets anders betrekking heeft”. (Rechtsoverweging 58)

Hoewel niet specifiek wordt ingegaan op sommige veel gebruikte benaderingen van het voldoen aan deze verplichting (bijvoorbeeld het veronderstellen van toestemming, enkel door gebruik van een dienst of het aanwezig blijven op een website), is gelet op bovenstaande beredenering duidelijk dat dergelijke benaderingen van toestemming niet volstaan.

Helaas behandelt de uitspraak niet het vereiste onder de AVG dat toestemming “vrijelijk” gegeven moet worden. Dat is teleurstellend, aangezien dit in de praktijk het meest gecompliceerde en betwistbare vereiste voor toestemming is. De uitspraak bevestigt verder dat dit uitgangspunt voor toestemming van toepassing is op het plaatsen van cookies, ongeacht of de informatie die is opgeslagen op de eindapparatuur van de gebruiker van een website of daaruit is opgevraagd bestaat uit ‘persoonsgegevens’ als bedoeld in de AVG.

Het verstrekken van informatie over cookies

Het Hof concludeert dat de informatie over cookies die moet worden verstrekt aan gebruikers, (onder meer) moet betreffen hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben. Deze conclusie werd getrokken, aangenomen dat het doel van het verstrekken van deze informatie is om de gebruiker in een positie te brengen dat hij in staat is om toestemming te geven op een voldoende geïnformeerde manier, waarbij hij het functioneren van de toegepaste cookies begrijpt en de consequenties van het verlenen van toestemming inziet.

Deze uitspraak gaat niet zo ver dat dat men kan stellen dat service providers derden met naam moeten identificeren; het verschaffen van details over de ontvangers of categorieën van ontvangers van de data volstaat – zonder twijfel een grote opluchting voor degenen aan wie het de taak is om “duidelijke en begrijpelijke” cookie- en transparantieverklaringen op te stellen. Wat betreft de periode van werkzaamheid van cookies, moet informatie worden verstrekt over de periode waarbinnen de data zal worden opgeslagen, of, indien dat niet mogelijk is, over de criteria die worden gebruikt om die periode vast te stellen (in overeenstemming met de transparantieverplichtingen uit de AVG).

De conclusies van het HvJEU zijn, over het algemeen, niet verrassend en geven een sterke bevestiging van het uitgangspunt dat al werd gehandhaafd door toezichthouders, zowel onder de Richtlijn Gegevensbescherming als de AVG. Met het nemen van deze beslissingen heeft het Hof uiteindelijk elke ruimte voor onduidelijkheid over de standaard voor toestemming bij het plaatsen van cookies weggenomen. Als gevolg daarvan dienen websiteoperatoren en toezichthouders te zorgen dat deze standaard vanaf nu wordt nageleefd.

Voor vragen of meer informatie, neem contact op met Joke Bodewits of Benjamino Blok.