De voorzieningenrechter heeft op 18 oktober 2023 geoordeeld dat het plaatsen van tracking cookies door Criteo onrechtmatig is. Criteo moet daarom de geplaatste cookies verwijderen en de ontvangers van de gegevens hierover informeren. Daarnaast moet ook Criteo inzage bieden in de verwerkte persoonsgegevens en de ontvangers van deze gegevens.
De feiten en vorderingen
In deze uitspraak van de voorzieningenrechter gaat het over een man (de eiser), die beweert dat Criteo tracking cookies zonder zijn toestemming en daarmee onrechtmatig op zijn apparaten plaatst en zijn persoonsgegevens verwerkt. De eiser heeft gevorderd dat deze onrechtmatige praktijken stoppen, dat hij inzage verkrijgt in zijn persoonsgegevens, informatie ontvangt over derden-ontvangers, Criteo de onrechtmatig verwerkte gegevens verwijdert en andere entiteiten informeert over het verwijderingsverzoek.
Criteo heeft gereageerd door te stellen dat het de verantwoordelijkheid van de website-exploitanten is om toestemming te verkrijgen voor het plaatsen van cookies, en dat Criteo contractueel verplicht is om dit van hen te eisen. Criteo beweert dat ze al actie heeft ondernomen tegen website-exploitanten die niet aan deze verplichting voldoen.
Eerder opgelegde boete
Criteo is een wereldwijd technologiebedrijf in de media- en entertainmentbranche dat zich bezighoudt met digitale marketing en advertenties, onder andere door het plaatsen van tracking cookies plaatst die weer worden gebruikt voor targeted advertising. Voor o.a. het plaatsen van tracking cookies heeft Criteo op 15 juni 2023 van de Commission Nationale de Informatique et des Libertés (CNIL), de Franse privacy-toezichthouder, een boete van € 40.000.000,- gekregen. Het persbericht van de CNIL was dit “in particular for failing to verify that the persons from whom it processed data had given their consent”.
Tracking cookies
Grofweg zijn er, met name vanuit privacy perspectief, drie soorten cookies. Allereerst zijn er de functionele cookies, welke de basisfunctionaliteit van een website ondersteunen en bedoeld zijn om de gebruikerservaring te verbeteren door de website beter te laten functioneren. Dan zijn er analytische cookies, deze cookies worden gebruikt om te bekijken hoe een bepaalde website gebruikt wordt.
Tenslotte zijn er tracking cookies, waar de uitspraak van de voorzieningenrechter op ziet. Door het plaatsen van deze cookies kan het gedrag van een gebruiker over verschillende websites heen gevolgd worden. Op basis van deze cookies kunnen advertenties worden afgestemd op individuele gebruikers door gebruikersprofielen op te stellen en gebruikers te herkennen wanneer ze internet bezoeken.
Regelgeving rondom cookies
Er is een aantal wetten belangrijk wanneer het gaat om het plaatsen van cookies. Dit zijn de Algemene Verordening Gegevensbescherming (AVG) en de Richtlijn betreffende privacy en elektronische communicatie (e-Privacy Richtlijn), welke laatste weer is geïmplementeerd in de Nederlandse Telecommunicatiewet.
AVG
Om te bepalen of de AVG van toepassing is op het plaatsen van cookies, moet worden vastgesteld of het plaatsen van cookies bestaat uit de verwerking van persoonsgegevens. Over het algemeen is dit niet het geval bij functionele cookies en minder snel het geval bij analytische cookies. Voor tracking cookies geldt vaak wel dat er sprake is van een verwerking van persoonsgegevens door het plaatsen van cookies. In de Planet49-zaak van het Hof van Justitie van de Europese Unie is bepaald dat een websitegebruiker moet instemmen met het gebruik van tracking cookies.
e-Privacy Richtlijn
Deze richtlijn geeft uitleg over de regels voor de verwerking van persoonsgegevens en de bescherming van de privacy in de sector van elektronische communicatie. Artikel 5(3) van de richtlijn bepaalt dat het plaatsen van tracking cookies alleen is toegestaan als (1) de gebruiker wordt voorzien van duidelijke en uitgebreide informatie in overeenstemming met de AVG, met betrekking tot onder andere de doeleinden van de verwerking en (2) de gebruiker het recht krijgt om het plaatsen van trackingcookies te weigeren.
Deze strenge vereisten zijn dus alleen van toepassing zijn op tracking cookies. Dus voor functionele cookies en analytische cookies (mits ze noodzakelijk zijn voor de werking van de website en geen risico vormen voor de privacy van de websitegebruiker) zijn deze vereisten niet van toepassing.
Telecommunicatiewet
De Telecommunicatiewet bevat de implementatie van de richtlijn inzake privacy en elektronische communicatie in het Nederlandse rechtssysteem. Artikel 5(3) van de richtlijn is geïmplementeerd in artikel 11.7a van de Nederlandse Telecommunicatiewet (de zogeheten ‘Cookiewet). De regels met betrekking tot tracking cookies in Nederland vormen een implementatie van de regels zoals uiteengezet in de e-Privacy richtlijn, met de toevoeging dat toestemming van de gebruiker vereist is voor het plaatsen van trackingcookies.
Verweren van Criteo
Criteo heeft een aantal verweren gevoerd, waarin de voorzieningenrechter niet is meegegaan. Allereest vond Criteo dat niet zij, maar haar partners verantwoordelijk zijn voor het plaatsen van tracking cookies. Criteo heeft het verkrijgen van toestemming dan wel contractueel uitbesteed, maar blijft volgens de voorzieningenrechter zelf verantwoordelijk voor het rechtmatig verkrijgen van toestemming.
Criteo heeft een aantal van haar partners aangesproken op het niet rechtmatig verkrijgen van toestemming, maar deed dit pas nadat eiser een klacht had ingediend. Uit een onderzoek uitgevoerd door Privacy Company is gebleken dat Criteo, makkelijker dan zij zelf aangeeft, kan controleren op juiste naleving van de regels bij haar partners.
Ook in het verweer dat eiser zelf de mogelijkheid heeft om het plaatsen van tracking uit te zetten ging de voorzieningenrechter niet mee. De voorzieningenrechter noemt dit ‘de wereld op zijn kop’ en benadrukt dat het Criteo is die moet zorgen voor rechtmatige toestemming. Daarnaast benadrukt de voorzieningenrechter dat het commerciële belang van Criteo niet opweegt tegen het belang van de eiser.
Uitspraak voorzieningenrechter
De vorderingen van de eiser worden door de voorzieningenrechter toegewezen. Criteo is daarmee niet alleen verplicht om het onrechtmatig plaatsen van tracking cookies te staken, maar Criteo moet ook inzage bieden in de persoonsgegevens en de ontvangers van deze gegevens, Criteo moet de persoonsgegevens verwijderen en de ontvangers van deze gegevens informeren over het verwijderen.
Dit artikel is op 13 november 2023 gepubliceerd als nieuwsbericht voor Sdu OpMaat Privacyrecht en is geschreven door Courtney Don