Verwerkt u rechtmatig persoonsgegevens als u daarbij vertrouwt op een grondslag van een derde?

Cookies en persoonsgegevens

Soms lijkt een website beter te weten wat u interessant vindt dan u zelf. Toeval? Nee, het maken van profielen op basis van surfgedrag en het plaatsen van gepersonaliseerde advertenties en content die aansluit op uw interesses is 'big business'. Die persoonlijke informatie wordt verzameld door het plaatsen van tracking cookies en andere volgsoftware. Hierbij worden veel persoonsgegevens verwerkt.

Criteo is een partij die tracking cookies aan haar klanten (partijen met een website) aanbiedt. Criteo plaatst via de website van haar klanten tracking cookies op devices van bezoekers van die website. In een recente rechtszaak tegen Criteo stelde een eiser dat Criteo niet had voldaan aan de wettelijke vereisten voor het verwerken van de persoonsgegevens via tracking cookies.

Grondslag toestemming

Om persoonsgegevens te verwerken moet een beroep op een grondslag kunnen worden gedaan. Zonder juridische grondslag geen rechtmatige verwerking. De grondslagen voor rechtmatige verwerking zijn limitatief opgenomen in artikel 6 van de AVG. Eén van die grondslagen is “toestemming van de betrokkene”. De verantwoordelijke moet kunnen aantonen dat de toestemming is gegeven. De toestemming moet zijn gegeven voordat de persoonsgegevens worden verwerkt. 

De Telecommunicatiewet bepaalt dat een gebruiker van een website toestemming moet geven voor het plaatsen van cookies. Soms geldt een uitzondering op dit toestemmingsvereiste. Voor tracking cookies is in ieder geval wel toestemming vereist. Daarmee is in het geval van tracking cookies tevens de grondslag op grond van de AVG een gegeven; toestemming. De eiser stelde dat hij nooit toestemming voor de tracking cookies van Criteo had gegeven. Criteo verweerde zich hiertegen (onder andere) door te stellen dat niet zij, maar de klant (partner met een website) verantwoordelijk was voor het verkrijgen van de toestemming. Dit hadden ze immers contractueel zo afgesproken.

Meerdere verantwoordelijken dus meerdere keren toestemming?

Soms zijn meerdere verantwoordelijken gezamenlijk verantwoordelijk voor een verwerking voor een bepaald doel. Dit zal vaak het geval zijn bij tracking cookies. Zo ook bij Criteo. Samen met haar klanten bepaalt Criteo het doel en de middelen van de gegevensverwerking die door middel van de tracking cookies plaatsvindt. Om die reden is zowel Criteo als de klant verantwoordelijk.

Moet een betrokkene dan aan iedere verantwoordelijke apart toestemming geven?

Nee, één van de gezamenlijk verantwoordelijken mag die toestemming voor alle gezamenlijke verantwoordelijken verkrijgen. Wij raden aan om in een overeenkomst tussen de gezamenlijke verantwoordelijken onder andere vast te leggen wie die taak uitvoert. Ook Criteo maakte dergelijke afspraken met haar klanten.

Afspraken in contract voldoende?

Criteo verwees dan ook naar de overeenkomst met haar klant waarin ze had bedongen dat de klant verantwoordelijke was voor het verkrijgen van toestemming. De eiser kon aantonen dat veel klanten – ondanks de contractuele verplichting – de cookies van Criteo hadden geplaatst zonder toestemming te vragen. De rechter oordeelde dat het contractueel uitbesteden van deze verantwoordelijkheid weliswaar is toegestaan, maar dat dit Criteo niet ontslaat van haar verplichting om te kunnen aantonen dat de betrokkene ook daadwerkelijk toestemming heeft gegeven.

Criteo stelde daarover dat zij audits uitvoerde bij klanten die niet correct vooraf toestemming vragen. Zij doet dat echter alleen achteraf wanneer zij een signaal krijgt (zoals van eiser) dat er geen toestemming is gegeven. Meer kan Criteo naar eigen zeggen niet doen. De rechter volgt Criteo daar niet in en stelt dat reactief optreden niet voldoende is. Criteo moet waarborgen dat vooraf toestemming wordt gekregen. Eiser betoogde dat het doorlopend controleren op onrechtmatig verzamelde gegevens in een database met zeer bescheiden inspanningen mogelijk is en Criteo heeft dit niet weersproken.

Hoe doet u het goed?

Plaatst u of laat u tracking cookies op uw website plaatsen of plaatst u tracking cookies op de website van een ander, zorg er dan voor dat u kunt aantonen dat de betrokkene daadwerkelijk toestemming heeft gegeven. Besteedt u het verkrijgen van toestemming uit, dan is het raadzaam om daar contractuele afspraken over te maken. Dit ontslaat u echter niet van het proactief (dus nog voordat de tracking cookies worden geplaatst) controleren of de toestemming daadwerkelijk is verkregen. Een controlemechanisme inbouwen waarmee u voorafgaand kunt controleren of er toestemming is verleend, is dus noodzakelijk.

Meer informatie of vragen?

Zou u graag meer informatie over dit onderwerp ontvangen, of over privacy in het algemeen, of heeft u nog vragen? Schroom dan niet om contact op te nemen met Caro Mennen, telefonisch via 088 627 22 20 of per e-mail via caro.mennen@pellicaan.nl, of een van de andere collega's van het privacyteam.