Beslissing GBA: Het belang van correcte informatie bij cookies

(Beslissing 11/2022 van 21 januari 2022)


De Geschillenkamer van de GBA heeft zich op 21 januari 2022 in een grensoverschrijdende zaak opnieuw uitgesproken over de vereisten rond het gebruik van cookies. De procedure werd opgestart naar aanleiding van een klacht die in 2018 werd ingediend bij de Berlijnse toezichthouder (Berliner Beauftragte für Datenschutz und Informationsfreiheit). De Geschillenkamer verzocht na ontvangst van de klacht via haar Duitse collega om verder onderzoek door de Inspectiedienst, waarna de procedure ten gronde kon aanvangen op 29 april 2020.

Voorwerp klacht

De klager uit in de klacht zijn ontevredenheid over het gebrekkig functioneren van de advertentievoorkeurenpagina op de website ‘YourOnlineChoices’ van de European Interactive Digital Advertising Alliance (EDAA). Deze website laat aan internetgebruikers toe om hun advertentievoorkeuren te beheren ten aanzien van de deelnemende bedrijven (waaronder bv. ook Google, Amazon en Facebook). Meer bepaald kan de gebruiker via een specifieke pagina op voornoemde website zijn of haar advertentievoorkeuren centraal beheren door voor specifieke of alle aangesloten bedrijven ‘interest based advertising’ in of uit te schakelen. Deze keuze heeft dan uitwerking voor verdere surfsessies via dezelfde browser.

De klager haalt echter aan dat de opt-out functie niet zou werken voor vele deelnemende bedrijven die toelaten om advertentievoorkeuren te beheren via de website van EDAA (bij het selecteren van de ‘uit’-optie, zou de ‘aan’-optie automatisch gereset worden). De toestemming is volgens de klager daarom niet vrij in de zin van de AVG en zou niet tegemoetkomen aan de vereisten voor het intrekken van de toestemming. De website YourOnlineChoices zou bovendien vereisen van bezoekers dat zij cookies aanvaarden alvorens hun advertentievoorkeuren te kunnen selecteren. Hierbij doet de klager zijn beklag over een specifieke cookie die EDAA informeert of de browser van de gebruiker al dan niet aanvaardt dat third-party cookies geplaatst worden.

Toestemmingsvereiste cookies en informatieverplichting

Uit de klacht, het voorafgaande onderzoek en de verklaringen van EDAA zelf bleek dat de omstreden cookie "third_party_c_t" (inmiddels niet langer in gebruik) bij een bezoek aan de homepage van YourOnlineChoices onmiddellijk geplaatst werd voordat de vereiste informatie ingevolge artikel 13 AVG was verleend middels de cookiebanner. De functie van deze cookie bestaat uit het nagaan of de browser van de bezoeker het gebruik van third-party cookies aanvaardt. EDAA tracht het onmiddellijk plaatsen van deze cookie zonder voorafgaande informatie te verantwoorden onder de volgende argumentatie: dat de cookie om technische redenen werd geplaatst voor het verschijnen van de informatiebanner, dat de bezoeker eerst een taalkeuze moest maken om de informatie vervolgens in de gekozen taal te kunnen ontvangen, en dat de privacy-impact op de betrokkenen voor de betrokken essentiële cookie laag was.


De Geschillenkamer veegt deze argumenten echter kordaat van tafel. Ten eerste verduidelijkt zij dat de voorafgaande informatieverplichting van toepassing is op alle types cookies (inclusief strikt noodzakelijke cookies), ongeacht hun impact op de rechten van betrokkenen met betrekking tot de bescherming van hun persoonsgegevens. Zij stelt dat wanneer de bezoeker nog geen taalkeuze heeft gemaakt, het in casu passend is om in eerste instantie een melding over het gebruik van cookies weer te geven in het Engels als taal die gebruikelijk is op het internet, tot de betrokkene diens eigenlijke taal selecteert. Algemeen wijst de Geschillenkamer erop dat de onder de AVG vereiste informatie dient geschreven te zijn in een taal die makkelijk te begrijpen is voor het doelpubliek voor wie een website bestemd is.

De Geschillenkamer stelt een verdere inbreuk op de informatieverplichting vast aangezien de cookiebanner op de website geen rechtstreekse link bevatte naar de vereiste informatie over het gebruik van cookies, maar in de plaats daarvan algemeen verwees naar de privacyverklaring van de organisatie. Aangezien dit ondertussen werd rechtgezet, acht de Geschillenkamer deze inbreuk niet langer relevant. De Geschillenkamer verwijst hierbij nog naar volgende recente richtlijnen omtrent cookiegebruik van de CNIL waarmee zij aangeeft akkoord te zijn, zodat het aanbevolen is om deze elementen als websitebeheerder zoveel mogelijk op te nemen als eerste informatielaag in de cookiebanner:

“Het plaatsen van een link naar de algemene gebruiksvoorwaarden is niet voldoende.

Op zijn minst moet de volgende informatie vooraf aan gebruikers worden verleend om ervoor te zorgen dat hun toestemming geïnformeerd is:

- de identiteit van de verantwoordelijke(n) voor gegevensverwerking via cookies;

- het doel van de gegevensverwerking via cookies;

- hoe de cookies te aanvaarden of te weigeren;

- de gevolgen van het weigeren of aanvaarden van cookies;

- het bestaan van het recht om toestemming in te trekken.

De privacyverklaring van EDAA bevatte daarnaast geen uitdrukkelijke vermelding van het recht van betrokkenen om hun toestemming terug in te trekken, maar informeerde hen enkel over de mogelijkheid om cookies te verwijderen. Dit werd aangepast door EDAA, zodat geen inbreuk weerhouden werd. Een uitdrukkelijke vermelding naar de betrokkenen toe van het recht om de toestemming in te trekken is dus aangewezen, zowel voor het gebruik van cookies als omtrent de verwerking van persoonsgegevens in het algemeen.

Onvolledigheid verwerkingsregister

De Geschillenkamer bekeek ook het verwerkingsregister van EDAA, waaruit blijkt dat EDAA beroep doet op diverse Amerikaanse verwerkers die clouddiensten verlenen. De derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden waren hierbij evenwel niet uitdrukkelijk opgenomen in het verwerkingsregister zelf. Enkel een kruisverwijzing naar de relevante overeenkomsten met deze verwerkers was terug te vinden in het register, onder de argumentatie dat dit toelaat om te allen tijde te verwijzen naar volledige en up-to-date informatie die immers kan afhangen van de gebruikte servers en specifieke diensten afgenomen van de verwerkers. De Geschillenkamer acht dit onvoldoende en beveelt sterk aan dat de derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden, eenvoudig te identificeren zijn in het verwerkingsregister zelf. De organisatie krijgt dan ook het bevel opgelegd tot aanvulling van haar verwerkingsregister. Opmerkelijk is dat de Geschillenkamer ondanks haar verwijzing naar de Schrems II-rechtspraak, verder niet ingaat op de rechtmatigheid onder de AVG van deze doorgiftes van persoonsgegevens naar de VS en eventuele andere derde landen.

Klacht: niet-functioneren advertentievoorkeuren en verplicht gebruik cookies

De Geschillenkamer stelt vast dat de tool om advertentievoorkeuren te selecteren op de website YourOnlineChoices niet naar behoren functioneerde bij de klager omdat hij ad blocking software gebruikte. Zowel op de advertentievoorkeurenpagina zelf als in de algemene gebruiksvoorwaarden van EDAA wordt hierover vermeld dat dit als gevolg kan hebben dat de advertentievoorkeurentool niet naar behoren werkt. In het inspectieverslag werd omtrent de test die plaatsvond van de tool ook niet aangevoerd dat deze niet naar behoren zou werken.


In lijn met de visie van de EDPB, spreekt de GBA zich dus uitdrukkelijk uit tegen zogenaamde “cookie walls”. De toegang tot een applicatie, website of andere diensten of voordelen mag dan ook niet worden ontzegd omdat een gebruiker weigert om in te stemmen met het gebruik van cookies die niet strikt noodzakelijk zijn.

Tot slot herhaalt de Geschillenkamer nog dat een “alles of niets”-keuze met betrekking tot cookies geen geldige toestemming kan uitmaken, en dat een specifiekere keuze mogelijk moet zijn (minstens per type cookies, en eventueel in een tweede laag ook per cookie individueel).

Beslissing

De Geschillenkamer beperkt zich voor de vastgestelde inbreuken tot het opleggen aan EDAA van een bevel tot aanvulling van het verwerkingsregister en het uitspreken van een berisping voor de inbreuken op de transparantieverplichting in het kader van het gebruik van cookies.