Rechtspraak GBA: Beslissing ten gronde nr. 12/2019 van 17 december 2019

Een website dat juridisch nieuws verstrekt houdt zich niet aan de transparantieverplichtingen en toestemming in termen van cookies

Context

Verstrekken juridisch nieuws voor rechtsbeoefenaars

Rechtsgrond

Artikel 5.2 GDPR: “De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).”

Artikel 6 GDPR: “1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”

Artikel 7 GDPR: “1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.”

Artikel 4.11° GDPR: “Voor de toepassing van deze verordening wordt verstaan onder:

(…)

„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”

Artikel 12.1 GDPR: “De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.”

Artikel 13.1 GDPR: “Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; d) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; e) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.”

Artikel 13.2 GDPR: “Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid.”

Artikel 24 GDPR: “1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Feiten

De websitebeheerder beheert een website gespecialiseerd in juridisch nieuws van, voor en over rechtsbeoefenaars, met een maandelijks bereik van 35.000 lezers. Aanleiding van de zaak zouden problemen zijn inzake de privacyverklaring en het cookiebeheer van de website.

De Geschillenkamer verwijst naar het arrest Planet49[1] voor zover hierin geoordeeld werd dat bij het gebruik van cookies, de verwerkingsverantwoordelijke de plicht heeft om informatie te geven over o.m. hoelang deze cookies actief blijven, en de al dan niet toegang van derden tot de cookies. Dit is noodzakelijk om behoorlijke en transparantie informatie te waarborgen.

De Geschillenkamer verwijt de verwerkingsverantwoordelijke een onzorgvuldige houding ten opzichte van meerdere aspecten van zijn transparantieverplichtingen conform art. 12 en 13 GDPR.

In de loop van het inspectieonderzoek heeft de betreffende website drie versies doorlopen waarbij de vastgestelde problemen (gedeeltelijk) werden verholpen. In eerste instantie bleken zeer belangrijke zaken te ontbreken in het privacy beleid en cookiebeheer, namelijk onder meer:

  • geen vermelding identiteit en contactgegevens verwerkingsverantwoordelijke;
  • geen vermelding verwerkingsdoeleinden en rechtsgrond;
  • periode van het opslagen van persoonsgegevens of criteria ter bepaling van die periode;
  • geen vermelding van de rechten van betrokkenen.

Het bleek tevens dat in eerste instantie het cookiebeleid enkel in de Engelse taal beschikbaar was en dat ook verwezen werd naar Amerikaanse wetgeving. Voor het indienen van een klacht wordt verwezen naar de Nederlandse Autoriteit Persoonsgegevens die in België uiteraard niet bevoegd is.

Hoewel de websitebeheerder aldus initiatief ondernam om het privacy beleid en cookiebeleid, in horten en stoten, GDPR conform te maken, deed dit voor de Geschillenkamer geen afbreuk aan de vaststelling dat er in eerste instantie nalatig werd omgegaan met de verplichtingen onder de GDPR.

Het feit dat de betrokken doelgroep van universitair niveau is, kon de Geschillenkamer hoegenaamd niet in andere zin overtuigen. Dit betekent namelijk niet dat er afbreuk mag worden gedaan aan het vermelden van de krachtens artikel 13 GDPR verplichte informatie, zoals de duidelijke aanwijzing van de verwerkingsverantwoordelijke. Het is immers de verantwoordelijkheid van de verwerkingsverantwoordelijke om ervoor te zorgen dat de op de website verstrekte informatie met de werkelijkheid strookt. De Geschillenkamer verwijst hier nadrukkelijk naar de in de artikelen 5.2 en 24 GDPR vastgelegde verantwoordingsplicht.

Wat betreft de verplichtingen inzake toestemming oordeelde de Geschillenkamer dat:

  1. Toestemming een uitdrukkelijke actieve handeling vereist;De toestemming kan met name worden uitgedrukt door te klikken op een vakje bij een bezoek aan een website. Daarentegen wordt uitdrukkelijk uitgesloten dat stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit als toestemming mogen gelden.
  2. Toestemming specifiek moet zijn;De toestemming van de betrokkene moet verleend worden met betrekking tot “een of meer specifieke” doeleinden. De betrokkene moet steeds een keuze hebben ten aanzien van elk van deze doeleinden.
  3. De betrokkene het recht heeft zijn toestemming te allen tijde in te trekken;

Hij moet daarvan op voorhand in kennis worden gesteld, waarbij het intrekken van de toestemming even eenvoudig moet zijn als het geven ervan.

Wat betreft het gebruik van cookies bestaat er volgens de huidige stand van de wetgeving geen uitzondering voor toestemming voor “eerste partij analytische cookies”, zodat een voorafgaandelijke toestemming voor het plaatsen van dergelijke cookies wel degelijk vereist is.

In casu gebruikte de website in juli 2019 bijvoorbeeld 47 cookies. De GBA erkent dat het niet de bedoeling kan zijn dat voor elk van deze cookies een aparte keuze moet voorzien worden, doch kan een simpele “alles” of “niets” ook niet volstaan onder de GDPR. De Geschillenkamer oordeelt dus dat de toestemming minstens per soort cookie verkregen moet worden.

Het recht op gegevensbescherming is een grondrecht van een ieder en als zodanig opgenomen in artikel 8 van het Handvest van de Grondrechten van de Europese Unie. Het komt dus niet aan de verwerkingsverantwoordelijke om te oordelen over de omvang van dit recht. Het is de internetgebruiker die soeverein moet kunnen beslissen op basis van transparante informatie of hij al dan niet op de betrokken website verder surft.

Het feit dat de verwerkingsverantwoordelijke algemene juridische diensten aanbiedt, betekent volgens de GBA wel dat de verwerkingsverantwoordelijke zich bewust had moeten zijn van het verstrekken van volledige en correcte juridische informatie, maar rechtvaardigt echter geen zwaardere sanctie.

Uitspraak   

De Geschillenkamer besluit de websitebeheerder een administratieve boete van 15.000 euro op te leggen.

Onze mening        

Toestemming moet steeds actief en specifiek zijn. Uit een stilzwijgen kan volgens de GDPR geen toestemming worden afgeleid.

Het gebruik maken van cookies is op zich niet verboden. Maar men moet minstens per soort cookie de vraag stellen om toestemming te geven. Bovendien geldt er een informatieplicht over het gebruik van cookies, waarbij onder meer aan de betrokkene de volgende informatie moet worden meegedeeld:

–         welke soort cookies;

–         hoe lang worden ze bijgehouden, en;

–         wie is verwerkingsverantwoordelijke.

Men tilde zwaar aan de bovengemiddelde kennis van de websitebeheerder en hield rekening met de omzet van websitebeheerder om de boete te bepalen.

Definitief?  

Ja

Integrale beslissing

Beslissing nr. 12/2019

 

 

 

[1] HvJ 1 oktober 2019, ECLI:EU:C:2019:801.