Berichten

Begin deze maand werd duidelijk dat de regelgeving rond cookies strenger zal worden toegepast. Het Europese Hof van Justitie besliste in het arrest van 1 oktober 2019 (C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e. V.) dat toestemming niet rechtsgeldig is verleend wanneer het plaatsen van cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven

Duidelijke actieve handeling

Dit betekent dat een gebruiker een actieve handeling moet stellen om zijn instemming met het plaatsen van de cookies aan te duiden. Dit betekent ook dat consent by further browsing, namelijk het impliciet toestemmen met het gebruik van cookies door verder te surfen op de website, niet meer volstaat.

Toestemming zoals gedefinieerd in de GDPR moet ook steeds vrij en geïnformeerd zijn. Dit laatste betekent dat u de betrokkenen helder dient te informeren omtrent welke cookies worden gebruikt en waarom. Een link op een cookiebanner die je laat doorklikken naar een cookiepolicy, is op vandaag niet meer voldoende. Je moet aangeven hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.‘Vrije toestemming’ houdt in dat een bezoeker ook moet kunnen weigeren. Het is meteen duidelijk dat vele websites op vandaan niet mee in de regel zijn.

Cookies

Altijd toestemming?

Wel belangrijk om te weten dat er nog steeds uitzondering bestaan op de verplichting om toestemming te vereisen voor het plaatsen van cookies.

Met name voor het plaatsen van cookies:

  • met uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren, of
  • een uitdrukkelijk door de gebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Helaas valt o.m. het gebruik van cookies voor website analytics algemeen niet onder een van deze uitzonderingen.

Cookies en GDPR?

Het gebruik van cookies wordt in wezen niet geregeld door de GDPR, maar door de e-Privacy richtlijn, in België omgezet in de Telecomwet (zie artikel 129). Deze telecomwet vereist in bepaalde gevallen voorafgaande toestemming van de gebruiker voor het plaatsen van cookies. Het begrip toestemming moet evenwel worden uitgelegd zoals bepaald in de GDPR.

Maar, via cookies kan je wel persoonsgegevens verwerken (bv. door persoonsgegevens op te slaan in de cookie). In dat geval is de GDPR uiteraard wel weer van toepassing.

Eerder besliste het Hof van Justitie van de Europese Unie in zijn Wirtschaftsakademie Schleswig-Holstein arrest al dat de beheerder van een facebookpagina een joint-controller (gezamenlijke verwerkingsverantwoordelijke) van persoonsgegevens is samen met Facebook. Nu werd de vraag opgeworpen of een beheerder van een website waarop een facebook like-knop plug-in staat, ook een joint controller is.

Like-knop plug-in

De zaak betrof de website Fashion ID. Op deze website stond een externe like-knop plug-in van facebook. De bodemrechter had vastgesteld dat deze plug-in informatie verzamelde van alle bezoekers van de Fashion ID website, ongeacht of zij een account hadden bij facebook of niet.

Joint-controller

Om een joint-controller te zijn moet Fashion ID samen met facebook het doel en de middelen van de gegevensverwerking vaststellen. Hiermee bedoelen we: samen bepalen waarom en hoe de persoonsgegevens worden verwerkt. Het Hof besliste dat dit voor zowel de verzameling van de gegevens als het doorzenden ervan naar facebook het geval is. Op de verdere verwerking heeft Fashion ID geen invloed, noch is zij op de hoogte zelfs van doel en middelen van de verwerking en is zij aldus geen joint controller.

Rechtsgeldige verwerking

Een rechtmatige verwerking van persoonsgegevens vereist aanwezigheid van een rechtsgrond voor de verwerking, in casu zijn volgende gronden relevant: gerechtvaardigd belang in hoofde van de verwerkingsverantwoordelijke of toestemming van de betrokkene.
Indien men zich beroept op gerechtvaardigd belang verduidelijkte het Hof dat het belang moet bestaan in hoofde van elke joint-controller. Zo moet Fashion ID een gerechtvaardigd belang hebben om de gegevens te verzamelen en te verzenden en Facebook een gerechtvaardigd belang voor alle verwerkingshandelingen die het stelt.
Alternatief kan je ook de toestemming van de betrokken persoon voor de gegevensverwerking vragen. Ook hier moet Fashion ID afzonderlijk van Facebook de toestemming van de betrokken persoon vragen voor het verzamelen en verzenden van de gegevens en moet Facebook toestemming vragen voor alle verwerkingshandelingen die het verricht.
Hetzelfde geldt overigens ook voor de transparantieplicht die zowel op Fashion ID als op Facebook rust.

Gevolgen

Facebook zal waarschijnlijk dezelfde lijn als voorheen doortrekken en voor het gebruik van plug-ins een joint-controller overeenkomst invoegen in overeenkomsten (zie ook het joint controller addendum voor Facebook paginabeheerders) Het afsluiten van zo’n overeenkomst tussen de joint-controllers is immers vereist onder artikel 26 AVG.
Websites die plug-ins van facebook gebruiken moeten er dan ook rekening mee houden dat zij voor bepaalde verwerkingen van persoonsgegevens joint-controllers zijn.
Wij raden dan ook aan om in ieder geval de nodige informatie te verschaffen aan je websitebezoekers en te zorgen dat je over een nodige rechtsgrond beschikt voor die verwerking. Je kan hiervoor toestemming voor gegevensverwerking vragen aan jouw website-bezoekers of afwegen of je over een gerechtvaardigd belang beschikt om die gegevens te verwerken.

Heb je nog vragen over plug-ins of de GDPR in het algemeen, aarzel dan niet om ons te contacteren!