Een al ingevuld selectievakje (opt-out) kwalificeert niet als toestemming. Dat is het oordeel van het Hof van Justitie naar aanleiding van een prejudiciële vraag van het Duitse Bundesgerichtshof over het plaatsen van niet-noodzakelijke cookies (zaak C-673/17). Kennelijk werd daarover getwijfeld. Dit oordeel komt echter niet als een verrassing. Zo is al in 2013 in een gezamenlijk working document (WP 208) van de Europese privacy toezichthouders het volgende opgenomen:
- The process by which users could signify their consent for cookies would be through a positive action or other active behaviour, provided they have been fully informed of what that action represents.
Toestemming vereist bovendien dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. De betrokken moet dus begrijpen waarvoor deze toestemming geeft. Dat een cookie zelf geen persoonsgegevens bevat maakt dit niet anders. De cookie of andere technische middelen (e.g. html5 opslag) maken de verwerking van persoonsgegevens namelijk mogelijk.
Iets minder duidelijk stond dit al in overweging overweging 17 van richtlijn 2002/58:
- In deze richtlijn dient ‚toestemming van een gebruiker of abonnee’, ongeacht of deze laatste een natuurlijke of rechtspersoon is, dezelfde betekenis te hebben als ‚Toestemming van de betrokkene’ zoals gedefinieerd en nader bepaald in richtlijn 95/46. Toestemming kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, onder andere door bij een bezoek aan een internetwebsite op een vakje te klikken.
Sinds 25 mei 2018 – de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) – is echter zonneklaar dat impliciete toestemming niet mogelijk is. Zo volgt bijvoorbeeld uit overweging 32 daarvan:
- Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
“Wie zwijgt stemt toe” geldt dus niet voor het plaatsen van niet-noodzakelijke cookies. Dit geldt in zijn algemeenheid voor alle verwerkingen van persoonsgegevens waarvoor toestemming vereist is.
Van belang is dus dat uw organisatie weet welke cookies deze plaatst en welke daarvan noodzakelijk en niet-noodzakelijk zijn. U weet dan immers, waarvoor u toestemming moet vragen. Wij zien in de praktijk regelmatig dat de webdesigners/ontwikkelaars allerlei applicaties toevoegen die diverse cookies plaatsen, zonder dat de opdrachtgever zich hiervan bewust is. Helaas is het wel de opdrachtgever die verantwoordelijke is en daarom hierop kan worden aangesproken door de toezichthouder met alle gevolgen van dien.
Mocht u vragen hebben over cookies en/of privacy neemt u dan gerust contact met mij op.