Toestemming vragen bij third-party cookies op een wijze die compliant is met privacy regelgeving? Advocaat-generaal Szpunar, die het Europees Hof van Justitie adviseert over de zaak, zorgt voor opheldering over vooraf aangevinkte selectievakjes en het bundelen van toestemming aan afname van een dienst (ofwel: het ‘betalen’ met persoonsgegevens)
Bent u een websitehouder? Dan zijn de opmerkingen van de advocaat-generaal Szpunar (hierna ‘AG’) wellicht interessant voor u. Recentelijk kwam zijn advies uit over de zaak tussen de Duitse consumentenbond (Bundersverband der Verbraucherzentralen) en een loterij-organisator (Planet49). In het advies wordt meer duidelijkheid gegeven over het vragen van toestemming aan een internetgebruiker bij het plaatsen van cookies op een wijze die AVG-proof is. Hoewel het advies niet bindend is en het Europees Hof zelf nog uitspraak moet doen, wordt verwacht dat dit advies waarschijnlijk grotendeels gevolgd zal worden.
Casus
De zaak betreft een websitebezoeker die door middel van een online-registratieformulier op de website ‘dein-macbook.de’ van Planet49 kon aangeven deel te willen nemen aan een loterij. Afgezien van de knop onderaan het formulier om deelname te bevestigen, bevatte het formulier ook twee teksten over de verwerking van persoonsgegevens. Achter die teksten stonden twee selectievakjes, waarvan één voorafgaand was aangevinkt. In de tekst waarvan het hokje standaard aangevinkt stond, werd de gebruiker om toestemming gevraagd dat direct na registratie voor de loterij een webanalysebedrijf werd ingeschakeld zodat Planet49 cookies kon installeren. Hierdoor kon Planet49 het surf- en gebruiksgedrag op websites van reclamepartners volgen en konden specifieke advertenties aan de gebruiker worden getoond.
In de tekst waarvan het hokje niet standaard stond aangevinkt, werd de gebruiker geïnformeerd en om toestemming gevraagd voor de benadering door sponsoren en partners via e-mail of sms. De gebruiker kon zelf de gewenste partijen selecteren, maar bij afwezigheid van keuze voorzag Planet49 in een selectie. Deelname aan de loterij zonder het aanvinken van dit hokje was niet mogelijk. De gebruiker betaalde dus eigenlijk met diens persoonsgegevens voor het gebruik van de dienst (in dit geval: meespelen met de loterij).
Nu is de vraag: is er geldige toestemming?
Toestemming: vereisten AVG
Het plaatsen van marketing cookies is alleen toegestaan op voorwaarde dat een internetgebruiker daar toestemming voor heeft gegeven. Volgens de AVG is toestemming rechtsgeldig als de toestemming ondubbelzinnig (door middel van een actieve handeling) is, op informatie berust en wordt gegeven ten aanzien van specifieke doeleinden. Daarnaast dient de toestemming ‘vrij’ gegeven te zijn.
Bevindingen AG
De AG verduidelijkt dat een selectievakje bij het vragen van toestemming niet vooraf aangevinkt mag zijn. Ook geeft de AG zijn zienswijze op de toelaatbaarheid van het bundelen van toestemming aan loterijdeelname (ofwel: het betalen met persoonsgegevens in ruil voor afname van een dienst).
Vooraf aangevinkte selectievakjes niet toegestaan
Volgens de AG mogen selectievakjes bij het vragen van toestemming niet vooraf aangevinkt staan, omdat toestemming dan niet actief en ondubbelzinnig is. Het vragen van toestemming dient ook afzonderlijk te gebeuren: het geven van toestemming mag niet worden verstopt en moet dus optisch helder zijn. Wanneer er met dezelfde knop akkoord wordt gegeven én voor deelname aan bijvoorbeeld een loterij én het verwerken van persoonsgegevens, is van geldige toestemming volgens de AG geen sprake. In het geval van Planet49 ging het om het plaatsen van cookies. Volgens de AG maakt het niet uit of de cookies persoonsgegevens verzamelen of andere informatie: de telecommunicatierichtlijn maakt hier geen onderscheid tussen.
Informeren over third-party cookies en voorwaarden toestemming
Verder moet een websitehouder de internetgebruiker duidelijk informeren of er ook third-party cookies via de website worden geplaatst en zo ja, welke derde partijen dat dan zijn en wat de duur van de cookies is. Het moet voor een internetgebruiker daarnaast duidelijk zijn of toegang tot een bepaalde website of dienst (in het geval van Planet49: deelnemen aan de loterij), afhankelijk is van het geven van toestemming.
Betalen met persoonsgegevens
Bij sommige diensten is het geven van toestemming verplicht, anders krijgt een websitebezoeker geen toegang tot de dienst. Zo ook bij Planet49: er mocht alleen meegespeeld worden met de loterij als de gebruiker toestemming gaf voor de benadering door sponsoren en partners via e-mail of sms (= verwerken persoonsgegevens). Het is in zo’n geval de vraag of er nog wel sprake kan zijn van een ‘vrij’ gegeven toestemming. Volgens de AVG is het in zulke situaties van belang om te kijken of de toestemming noodzakelijk is voor de uitvoering van de overeenkomst.
De AG vindt dat het verstrekken van persoonsgegevens in ruil voor het mogen sluiten van een overeenkomst in sommige gevallen is toegestaan. Volgens hem moet naar het onderliggende doel van het sluiten van de overeenkomst worden gekeken. In de zaak tegen Planet49 konden deelnemers meedoen aan de loterij in ruil voor persoonsgegevens, zodat Planet49 deze persoonsgegevens kon doorverkopen. Volgens de AG is de toestemming daarmee noodzakelijk voor Planet49 bij het uitvoeren van de overeenkomst en daarmee is sprake van vrije toestemming.
Deze conclusie is interessant, omdat er discussie bestaat of- en in welke gevallen toestemming ‘vrij’ is als die toestemming als voorwaarde wordt gesteld voor het afnemen van dienst. Wanneer het Europese Hof het advies van de AG volgt, zou dit er ook op kunnen duiden dat – in tegenstelling tot het standpunt van de Autoriteit Persoonsgegevens – de toestemming bij cookiemuren op websites vrij is gegeven wanneer de website slechts kan bestaan door verkoop van data en de daarmee gepaard gaande (advertentie)inkomsten (zie ook de recente blog over cookiemuren). Wordt vervolgd!