Vorig jaar oordeelde de Nederlandse Autoriteit Persoonsgegevens (AP) dat de cookiewall (de beeldvullende pop-up die de toegang tot een website onmogelijk maakt totdat je de pop-up weg klikt) verboden is. Het op deze manier vragen van toestemming voor de verwerking van persoonsgegevens voldoet volgens de AP niet aan de vereisten die gesteld worden in de AVG. Maar mag de AP dit verbod wel opleggen?
De AP, en bijna alle andere Europese privacytoezichthouders, hebben aangegeven dat zo’n cookiewall in strijd is met de AVG. Voor het plaatsen van cookies is toestemming van de bezoeker vereist, maar die toestemming moet een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming zijn volgens de AVG. Indien een bezoeker de website niet kan bezoeken zonder toe te stemmen met trackingcookies, wordt dat door de toezichthoudende autoriteit gezien als een toestemming die niet vrij is gegeven. Die toestemming zou dus ongeldig zijn.
De Franse gegevensbeschermingsautoriteit CNIL nam dezelfde beslissing als de AP. Als toezichthouder kun je zogenaamde ‘soft law’ aannemen, zoals richtsnoeren en aanbevelingen, om ervoor te zorgen dat AVG wordt nageleefd. CNIL had richtsnoeren opgesteld met daarin een verbod op de cookiewall: "Om de door de AVG vereiste toestemming vrij te kunnen geven, mag de toegang tot diensten en functionaliteiten niet afhankelijk worden gesteld van de toestemming van een gebruiker voor de verwerking van persoonsgegevens of de verwerking van informatie met betrekking tot of verwerkt door de eindapparatuur van de eindgebruikers, wat betekent dat cookiewanden uitdrukkelijk moeten worden verboden", aldus de Franse gegevensbeschermingsautoriteit.
In Frankrijk bestaat de mogelijkheid om tegen zo’n besluit in beroep te gaan bij Conseil d'État, oftewel, de Franse Raad van State. Dit gebeurde ook. De aanklager was van mening dat cookiewalls wel toegestaan zouden moeten zijn, aangezien de bezoeker immers de mogelijkheid heeft om de website met de cookiewall niet te bezoeken. Een vrije toestemming dus. Daarbij verwees de aanklager naar het economische belang van het gebruik van cookies.
Op 19 juni 2020 deed de Conseil d'État uitspraak (uiteraard in het Frans). Conclusie? CNIL had misbruik gemaakt van haar bevoegdheid door in haar richtsnoeren te stellen dat de cookiewall niet is toegestaan. De Conseil d'État bevestigt dat de CNIL wel de bevoegde regelgevende instantie is om zulke richtsnoeren over cookies vast te stellen, maar doordat in de richtsnoeren een "algemeen en absoluut verbod" stond voor cookiewalls, oordeelde de Conseil d'État dat de autoriteit daarmee te ver is gegaan. CNIL kan volgens de rechter niet uit het vereiste van vrije toestemming uit de AVG, een verbod op een cookiewall afleiden. Door toch deze richtsnoeren vast te stellen, heeft de CNIL dus misbruik gemaakt van haar bevoegdheid.
Wat betekent deze uitspraak voor Nederland en andere Europese landen? De AP heeft immers ook aangegeven dat de cookiewall verboden is en gaf zelfs aan boetes uit te willen gaan delen, als organisaties zich niet aan de regels houden. Dat mag de AP in principe ook. De AP is namelijk een bestuursorgaan. Op grond van de bestuursrechtelijke regels die kan de autoriteit verschillende besluiten nemen, waaronder het opleggen van boetes bij overtredingen van de AVG.
Als belanghebbende kun je hiertegen in actie komen. Je kan in eerste instantie bij de AP zelf in bezwaar gaan. Mocht je het daarna nog steeds niet eens zijn, dan is er daarna de optie om beroep in te stellen tegen het besluit bij de bestuursrechter. Mocht de AP dus echt boetes gaan uitdelen aan organisaties die de cookiewall op hun website gebruiken, dan is de kans groot dat de bestuursrechter zich uiteindelijk over de kwestie zal moeten uitspreken. En dan de rechter voor dezelfde vraag komen te staan: kan de AP wel tot het oordeel komen dat de cookiewall verboden is op grond van de tekst in de AVG? De Franse rechter vond dus van niet.
Uiteindelijk heeft de Conseil d'État zich verder niet uitgesproken over de inhoud van de vraag. We weten dus nog steeds niet zeker of de cookiewall nou mag of niet mag. Daarvoor wachten we allemaal (inmiddels al een behoorlijke tijd) in spanning op de aankomende ePrivacy Verordening, die meer duidelijkheid moet gaan verschaffen. Het dossier ‘cookiewall’ wordt dus ongetwijfeld vervolgd.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.