In een arrest van 1 oktober 2019 heeft het Hof van Justitie geoordeeld dat de toestemming voor cookies een actieve handeling van de gebruikers veronderstelt. Standaard aangevinkte selectievakjes zijn bijgevolg niet toegelaten. Verder moeten website beheerders onder meer ook informatie verstrekken over de eventuele ontvangers of categorieën van ontvangers (voor zover relevant) en de levensduur van de cookies.
Op basis van de e-Privacyrichtlijn van 12 juli 2002, die eveneens is omgezet in Belgisch recht, geldt als algemene regel dat het plaatsen van cookies de toestemming van de gebruikers vereist. Sommige cookies zijn weliswaar vrijgesteld van deze verplichting. Ongeacht of hiervoor toestemming vereist is, moeten website beheerders de gebruikers ook informeren over de plaatsing van cookies.
In een recent arrest van 1 oktober 2019 ( C-673/17, Planet49 GmbH ) heeft het Hof van Justitie zich nader uitgesproken over (i) de vereisten verbonden aan een rechtsgeldige toestemming voor cookies en (ii) de informatie die over cookies moet worden verstrekt.
In deze zaak had een Duitse onderneming een reclameloterij georganiseerd op een website, waarbij de gebruikers konden instemmen met cookies waarmee op basis van surfgedrag gepersonaliseerde advertenties werden getoond. Deze toestemming werd gevraagd via een selectievakje dat standaard was aangevinkt en dat de gebruikers moesten uitvinken als zij hun toestemming weigerden.
Het Hof van Justitie oordeelde dat een toestemming voor cookies niet rechtsgeldig kan worden bekomen via een standaard aangevinkt selectievakje. Deze toestemming moet immers beantwoorden aan dezelfde vereisten als onder de wetgeving inzake gegevensbescherming, wat onder meer betekent dat het moet gaan om een actieve handeling. Een vooraf aangevinkt selectievakje beantwoordt niet aan dit criterium.
Het bovenstaande geldt volgens het Hof van Justitie des te meer onder de Algemene Verordening Gegevensbescherming ("AVG" of GDPR"). De AVG schrijft immers uitdrukkelijk voor dat toestemming actief moet zijn. Dit is overigens niet de enige vereiste voor een rechtsgeldige toestemming, gezien de toestemming niet alleen ondubbelzinnig (en dus actief) moet zijn, maar ook vrij, specifiek en geïnformeerd.
Het Hof van Justitie heeft verder gepreciseerd dat het voor de geldigheid van de toestemming voor cookies niet uitmaakt of de opgeslagen informatie al dan niet persoonsgegevens bevat. Ook als dit niet het geval zou zijn, vereist de toestemming voor cookies een actieve handeling. De toestemmingsvereiste beoogt immers om gebruikers te bescherming tegen alle mogelijke inmengingen in hun privéleven, ongeacht of die inmenging betrekking heeft op persoonsgegevens.
Volgens het Hof van Justitie moet de verstrekte informatie de gebruikers toelaten te weten welke gevolgen zijn toestemming precies heeft. Dit houdt niet alleen in dat de gebruikers worden geïnformeerd over bv. de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de cookies, maar ook over:
- de ontvangers of de categorieën ontvangers van de gegevens, als dit nodig is om tegenover de gebruikers een eerlijke verwerking te waarborgen;
- hoe lang de cookies actief zijn, gezien een lange of zelfs onbeperkte duur tot gevolg kan hebben dat veel informatie wordt verzameld over het surfgedrag van de gebruikers.
Op Europees vlak wordt momenteel gewerkt aan een e-Privacyverordening die de huidige e-Privacyrichtlijn zal vervangen en het bestaande wettelijk kader rond cookies in de toekomst kan wijzigen. Wij volgen dit alleszins verder voor u op.
Actiepunt
Ga na welke cookies u gebruikt op uw website en of hiervoor een GDPR-conforme toestemming wordt bekomen (voor zover vereist). Ga tevens na of u voldoende nauwkeurige informatie verstrekt over de cookies (bv. in een cookie notice), met inbegrip van informatie over eventuele ontvangers of categorieën van ontvangers en de levensduur van de cookies.