Toepassing van legitiem belang inzake plaatsen van cookies
Steeds vaker verantwoorden websites het gebruik van cookies door te verwijzen naar een legitiem belang dat ze hebben voor het gebruiken van deze technologie. Daarbij krijgt de gebruiker dan de mogelijkheid om via ondertussen klassieke cookienotificaties het (meestal vooraf aangeklikte) legitiem belang al dan niet aan/af te klikken. Het ‘legitiem belang’, zoals het gerechtvaardigd belang in het jargon wordt aangeduid, vindt zijn grondslag in GDPR, waarbij dit een (eerder uitzonderlijke) grond voor gegevensverwerking is. De vraag rijst daarbij of dit ook geldt voor het gebruik van cookies en of het vermelde gebruik (waarbij u als gebruiker daarover een beslissing moet nemen) wel is geoorloofd. (lees verder onder afbeelding)
GBA v. IAB Europe
Midden-oktober 2020 raakte bekend dat de Belgische Gegevensbeschermingsautoriteit (GBA) een onderzoek had verricht naar het zgn. “Transparency and Consent Framework” (TCF) van IAB Europe. IAB Europe, voluit Interactive Advertising Bureau Europe, is een samenwerking tussen media-, technologie- en marketingbedrijven. Samen hebben zij het TCF opgesteld als een vorm van zelfregulering.
Het TCF wordt door honderdduizenden websites en applicaties gebruikt. Een beslissing in deze zaak heeft bijgevolg verstrekkende gevolgen, niet enkel in België, maar tot ver daarbuiten.
Eén van de opvallende kritieken van de GBA is dat het TCF veelvuldig gebruikmaakt van het ‘legitiem belang’ om bepaalde verwerkingsactiviteiten te rechtvaardigen. Dit botst met het uitzonderingskarakter van deze verantwoordingsgrond voor het verwerken van persoonsgegevens. Zoals het geval is met uitzonderingen op de regel, dient deze restrictief toegepast te worden. Ook veelgebruikte cookiebots zoals Quantcast hebben zich onder meer gebaseerd op het TCF en gebruiken het legitiem belang als grond voor het gebruik van bepaalde cookies.
Een cookie plaatsen is niet hetzelfde als gegevens verwerken
De regelgeving inzake cookies valt uiteen in twee grote categorieën. Enerzijds is er regelgeving die bepaalt wanneer een website een cookie mag plaatsen op het toestel van een gebruiker. Dit wordt geregeld door ePrivacy-richtlijn (Richtlijn 2002/58/EG) en de bijhorende nationale omzettingswetgeving. Voor België is dit de wet van 13 juni 2005 betreffende elektronische communicatie, meer specifiek art. 129 van deze wet. Anderzijds is er de regelgeving over de verwerking van persoonsgegevens (die deze cookies mogelijk verzamelen). De GDPR en de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens bepalen hoe dit laatste dient te gebeuren.
Eén van de belangrijkste vereisten is dat een gebruiker, vrij, en na voldoende te zijn geïnformeerd, toestemming dient te verlenen (dit werd bevestigd door het arrest van het Hof van Justitie van 1 oktober 2019, Planet49, C-673/17), zowel voor het plaatsen van niet-essentiële cookies (voor essentiële cookies is een uitzondering voorzien door art. 129, 2° van de wet van 13 juni 2005), als voor het verwerken van zijn gegevens. Deze toestemming dient verkregen te worden volgens dezelfde principes van art. 4, (11) GDPR. Ze dient met andere woorden vrij, geïnformeerd en ondubbelzinnig gegeven te zijn. We schreven hierover reeds eerder in een vorige blogpost.
Wat betreft de verwerking van persoonsgegevens staat art. 6 GDPR toe dat in bepaalde gevallen een beroep kan worden gedaan op het zogenaamde ‘gerechtvaardigde belang’ van de verwerkingsverantwoordelijke of van een derde om de verwerking te verantwoorden.
De ePrivacy-richtlijn laat een dergelijke uitzondering niet toe. In overweging 25 bij de ePrivacy-richtlijn wordt gesteld dat “De gebruikers dienen de gelegenheid te hebben te weigeren dat een cookie of soortgelijke voorziening op hun eindapparatuur wordt opgeslagen”. In de overwegingen bij een latere richtlijn die de ePrivacy-richtlijn wijzigde, stelde de Europese wetgever dat uitzonderingen op de verplichting om toestemming te verkrijgen voor het plaatsen van cookies beperkt dienden te worden tot gevallen die strikt noodzakelijk zijn voor de verwerkingsverantwoordelijke (Overweging 66 Richtlijn 2009/136/EG).
Vooraf aangeklikte knoppen inzake legitiem belang – Bezwaar of verkapte toestemming (opt-out)?
Voor de verwerking van persoonsgegevens kan een beroep op legitiem belang dus wel rechtmatig zijn. Daarbij moet dan worden opgemerkt dat een gerechtvaardigd belang (ter herinnering, in hoofde van de verwerkingsverantwoordelijke of een derde) bestaat, of niet bestaat. Het hangt niet af van een beslissing van de gebruiker.
Verschillende websites voorzien echter sedert kort bij hun claim van legitiem belang een knop die de gebruiker kan aanklikken om aan te geven dat hij hiermee niet akkoord gaat. Indien u bezwaar maakt tegen het claimen van een legitiem belang, kan u deze ‘uitklikken’. Dergelijke knoppen worden gezegd gevolg te geven aan de verplichting van art. 21, 1 GDPR, t.t.z. om de gebruiker de mogelijkheid te bieden bezwaar te maken tegen het inroepen van een legitiem belang.
Een dergelijke afmeldoptie is zeker geen verplichting. Er kan immers ook op andere manieren worden voorzien in de mogelijkheid tot bezwaar. Zoals hoger reeds werd aangehaald is het opwerpen van een legitiem belang een uitzondering die restrictief moet worden toegepast.
Het bezwaar tegen het inroepen van een legitiem belang, is dus een bezwaar tegen een uitzondering en de toepassing ervan zou dus per definitie ook een eerder beperkt fenomeen moeten zijn.
Veelvuldig gebruik van deze grondslag, waarbij men de gebruiker de optie biedt om een afmeldknop aan te vinken, en aldus deze in zekere zin te laten bepalen of er al dan niet sprake is van een legitiem belang, dreigt te zorgen voor een denaturatie van het legitiem belang tot een verkapte toestemming. Zoals gezegd kan het bestaan van een legitiem belang in principe niet afhangen van de beslissing van de gebruiker. In de mate dat het veelvuldig gebruik van dergelijke knoppen neerkomt daarop, camoufleert men eigenlijk een vooraf aangevinkte toestemming als een toepassing van legitiem belang met mogelijkheid van bezwaar. Dat is zeker zo wanneer een dergelijke knop inzake legitiem belang, zich broederlijk bevindt onder een knop waarbij toestemming wordt gevraagd voor dezelfde cookie/verwerking. Zoals geweten zijn vooraf aangevinkte toestemmingen (opt-out) niet in overeenstemming met GDPR.
Hoewel bij een correct inroepen van een legitiem belang het type van bezwaar via een aan te klikken knop o.i. een rechtmatige en correcte toepassing kan uitmaken van de GDPR, lijken bij excessief gebruik de vooraf aangevinkte knoppen voor het legitiem belang niet in overeenstemming met de privacy-wetgeving.
Het spreekt voor zich dat er een grote ruimte is voor misbruik en in het algemeen lijkt ons dit een af te raden toepassing van de regels. In de mate dat via een omweg een maximale gegevensverwerking wordt nagestreefd op grond van zgn. ‘consent fatigue’ van gebruikers, is dit per definitie onrechtmatig. Het gebruik van deze techniek is dus niet zonder risico, aangezien hij mogelijk inbreuk maakt tegen GDPR.
Verstrengd toezicht
Zoals blijkt uit recente rechtspraak van het Hof van Justitie (Wirtschaftsakademie, Fashion ID en Planet49) wordt de interpretatie van de regels voor cookies – en andere technieken die hetzelfde effect hebben – gestreng in de gaten gehouden. Op basis van deze rechtspraak is een websitebeheerder (mede)verantwoordelijk voor alle cookies op zijn websites en dient toestemming steeds voorafgaand verkregen te zijn, waarbij men geen gebruik mag maken van een opt-outsysteem. In afwachting van de komst en inwerkingtreding van de ePrivacy-verordening, die de bestaande ePrivacy-richtlijn (en dus het huidige regelgevende kader) zal vervangen, blijven de hierboven vermelde regels uit de ePrivacy-richtlijn onverkort gelden.
Op basis van het voorgaande mag alvast genoteerd worden dat het claimen van een legitiem belang, voor het loutere plaatsen van cookies niet voldoet aan de bestaande regelgeving. Ook voor het verwerken van persoonsgegevens via cookies kan het bovendien problematisch zijn. Het bestaan van een opt-out in dat verband is geen garantie op naleving van GDPR.
Verschillende webbeheerders, websitebouwers en andere betrokken spelers doen er dan ook goed aan om hun cookiepolicy desgevallend aan te passen en daarbij zeker de komst van de nieuwe ePrivacy-verordening nauwlettend in de gaten te houden.
Brussel, 15 januari 2021
Mr. Erik De Caluwé
Dhr. Bram Cuypers
Disclaimer: De hierbij verstrekte informatie is geen juridisch advies en kan niet leiden tot enige aansprakelijkheid voor de auteur of ORYS Advocaten. Indien u advies wenst over de inhoud ervan, consulteer dan onze gespecialiseerde advocaat? Stel uw vraag per e-mail (erik.decaluwé@orys.be) of contacteer ons op +32 (0)2 410 10 66.