Het Hof van Justitie van de Europese Unie (HvJ-EU) wees op 1 oktober 2019 een merkwaardig arrest over de interpretatie van het begrip ‘toestemming’ met betrekking tot cookies. Deze uitspraak zou wel eens ingrijpende gevolgen kunnen hebben voor de toekomst van het toepasselijke regelgevingskader inzake de bescherming van de persoonlijke levenssfeer.
Wat zijn cookies?
Een cookie is een bestandje dat naar uw computer of mobiele telefoon wordt gedownload wanneer u een website raadpleegt. Dankzij cookies kan de webmaster van de site informatie inwinnen en opslaan over uw surfgedrag als internetgebruiker of over de apparatuur die u gebruikt om de website te bezoeken. Cookies spelen vandaag een belangrijke rol. Ze zijn uiteraard bedoeld om het browsen evenals de analyse van de bezochte pagina’s vlotter te laten verlopen (met behulp van de zogenaamde analytische of eerstelijnscookies). Maar ze dienen ook om aan gedragsgerichte targeting te doen ten behoeve van webmarketing (via cookies van derden, met name voor reclamedoeleinden).
Het HvJ-EU spreekt zich uit tegen de opt-out voor cookies
Op 24 september 2013 organiseerde de in online games gespecialiseerde Duitse onderneming Planet49 een promotiespel op het internet. Op de webpagina stond een standaard aangevinkt vakje, waarmee Planet49 er dus van uitging dat de deelnemers akkoord zouden gaan met de opname van cookies die informatie zouden inwinnen voor reclamedoeleinden. De Duitse federatie van consumentenorganisaties betwistte deze praktijk voor het Bundesgerichtshof (het Duitse federale Hof van Justitie), dat de zaak vervolgens naar het Hof van Justitie van de Europese Unie (HvJ-EU) verwees.
Een standaard aangevinkt vakje volstaat niet
In zijn antwoord aan de Duitse rechter oordeelde het HvJ-EU dat de toestemming van de internetgebruiker om cookies op zijn apparatuur te plaatsen en te raadplegen niet geldig kan worden gegeven aan de hand van een vooraf aangevinkt vakje (namelijk een vakje dat de gebruiker dus zelf moet uitvinken om zijn toestemming te weigeren). In dit verband past hetHvJ-EU dus de beginselen toe van de Algemene Verordening Gegevensbescherming (AVG / GDPR), die op 25 mei 2018 in werking trad en die de praktijk van de opt-out in het raam van een toestemming voor het inwinnen van persoonsgegevens bestraft.
Een specifieke en tijdelijke toestemming, waarvan de verdeling met derden uitdrukkelijk wordt vastgelegd
Het Hof benadrukt dat de toestemming specifiek moet zijn. Het feit dat een gebruiker de knop voor deelname aan het promotie spel activeert volstaat niet om aan te nemen dat hij geldig toestemming heeft gegeven voor het downloaden van cookies. Het Hof oordeelt bovendien dat de informatie die de dienstverlener aan de gebruiker moet verstrekken ook de duur van de werking van de cookies moet vermelden evenals de vraag of derden al dan niet toegang mogen krijgen tot deze cookies.
Een pleidooi voor een beter beschermde persoonlijke levenssfeer
Met dit arrest past het HvJ-EU het beginsel van actieve toestemming niet alleen toe op het inwinnen van persoonlijke gegevens, maar ook op het gebruik van cookies. Het in Luxemburg gevestigde Hof stelt namelijk dat “het feit dat de in de apparatuur van de gebruiker opgeslagen of geraadpleegde informatie al dan niet van persoonlijke aard is, geen invloed heeft op dit resultaat.”
Een uitspraak en een juridisch vacuüm
Het HvJ-EU spreekt zich dus, met dit arrest, uit over de kwestie van de toestemming inzake cookies. Toch is het zo dat geen enkele wetgeving dit vraagstuk op een duidelijke en nauwkeurige manier oplost. En hier stuiten we op een van de voornaamste tekortkomingen van de AVG: de verordening berust op het begrip instemming, zonder dat er enige eensluidendheid bestaat over de toepassing van dit principe. Hiervan getuigen webgiganten als Facebook of Google, die de regelgeving nogal laks toepassen. Het gebruik van hun diensten staat in ruime mate gelijk aan de aanvaarding van hun beleid inzake gegevensverwerking, terwijl het HvJ-EU voor een werkelijk vrije keuze pleit, waarbij de gebruiker niet hoeft af te zien van de aangeboden dienst als hij zijn gegevens niet wenst te delen.
Hoe dan ook, het HvJ-EU bewijst met dit arrest eens te meer dat het bereid is een machtsevenwicht te vinden om zijn opvatting over de bescherming van de persoonlijke levenssfeer op te dringen – ook al beweren sommigen dat deze opvatting strijdig is met de realiteit van digitale marketing vandaag. Dit meningsverschil verklaart waarom de nieuwe verordening inzake ‘e-privacy’, die het regelgevingskader voor elektronische communicatie diensten zou moeten harmoniseren, moeilijk van de grond raakt. De opvattingen van de Europese wetgever en die van de digitale marketing sector zijn voorlopig niet te verzoenen.
Hopelijk zullen deze spanningen op de lange termijn niet leiden tot rechtsonzekerheid. We wachten op een duidelijk en transparant regelgevend kader. Anders zou de reeds te lang bestaande status-quo waarschijnlijk blijven aanslepen.