In haar besluit van 21 januari 2022 heeft de Belgische Gegevensbeschermingsautoriteit (“BDPA”) bedrijven herinnerd aan enkele belangrijke regels inzake het gebruik van cookies/trackers. Dit besluit biedt ook nuttige inzichten voor DPO’s in best practices voor cookie compliance en de voorwaarden waaronder bedrijven het gedrag van online gebruikers mogen volgen en of er altijd toestemming moet worden verkregen. Hieronder geven wij een samenvatting van deze beslissing en geven wij enkele belangrijke tips voor de naleving van deze uitspraak.
Belgische privacywaakhond BDPA benadrukt cookiewet- en regelgeving
Bekijk het document hier…
Heb ik toestemming nodig voor alle cookies/trackers?
Trackers die strikt noodzakelijk zijn voor het verlenen van een online communicatiedienst waarom de gebruiker uitdrukkelijk heeft verzocht, of trackers die communicatie via elektronische middelen mogelijk maken, behoeven geen toestemming. Dit geldt ook voor cookies die de keuze van de gebruiker om cookies te plaatsen behouden, die worden gebruikt om een dienst te authenticeren, die de inhoud van een winkelwagentje behouden, of die de gebruikersinterface personaliseren (bv. taalkeuze of lay-out van de dienst), wanneer die personalisering een intrinsiek en verwacht kenmerk van de dienst is. De verwerking van deze gegevens is over het algemeen gebaseerd op het rechtmatige belang van de gebruiker.
Volgens de BDPA moet u vooraf toestemming vragen voor alle andere cookies en trackers. Bijvoorbeeld cookies die worden gebruikt voor het tonen van gepersonaliseerde of niet-gepersonaliseerde reclame (waarbij trackers worden gebruikt om het advertentiepubliek te analyseren) of voor het delen op sociale netwerken. Wanneer geen toestemming wordt gegeven (d.w.z. wanneer de toestemming door de gebruiker wordt geweigerd), kunnen deze cookies niet op de terminal van de gebruiker worden geïnstalleerd en/of gelezen.
Toestemming moet ook specifiek zijn. Het bevestigen van een aankoop of het aanvaarden van algemene voorwaarden is dus niet voldoende om te kunnen stellen dat op geldige wijze toestemming is gegeven voor het plaatsen of uitlezen van cookies. Evenmin kan het loutere “gebruik” van cookies impliceren dat toestemming is gegeven, zonder verdere specificatie van de gegevens die via deze cookies worden verzameld of de doeleinden waarvoor deze gegevens worden verzameld.
Zijn transparantievereisten ook van toepassing op cookies?
Ja. Voordat toestemming van de gebruiker wordt gevraagd, moet volgens dit beginsel nauwkeurige informatie worden verstrekt, in eenvoudige bewoordingen die voor elke gebruiker begrijpelijk zijn, over (i) de identiteit van de voor de verwerking verantwoordelijke, (ii) de doeleinden van de cookies en andere trackers die zullen worden geïnstalleerd en/of gelezen, (iii) de gegevens die zij verzamelen, en (iv) de levensduur ervan. De informatie moet ook (i) de GDPR-rechten van de betrokkene uitleggen, waaronder het recht om toestemming in te trekken, en (ii) worden gepresenteerd in een taal die gemakkelijk te begrijpen is door de “doelgroep”.
Dit informatievereiste geldt voor alle soorten cookies, ongeacht of hun impact op de gegevensbeschermingsrechten van de betrokkene laag of hoog is. Het moet ook worden opgenomen in de banner, bijvoorbeeld via een directe link naar de informatie die over cookies moet worden verstrekt, in plaats van een algemene verwijzing naar het privacybeleid.
In het onderhavige geval betoogde de verweerder dat het onmogelijk was om de informatie over de problematische cookie (over de vraag of de browser van de gebruiker cookies van derden accepteert) in de taal van de gebruiker weer te geven, aangezien dit de pagina was waarop de gebruiker zijn taal/land moest selecteren. Het BDPA verwierp dit argument. Volgens het BDPA is het, zelfs indien uw website gericht is op een Franstalig en/of Nederlandstalig publiek (en dus in het Frans en/of Nederlands moet worden aangeboden), “passend om de waarschuwing voor het gebruik van de cookie in het Engels weer te geven, een wijdverspreide taal die gewoonlijk door andere websites wordt gebruikt, alvorens de taal van de gebruiker te selecteren”.
Cookie Consent Manager | Gratis Trial van 2 weken
Neem een Gratis proefperiode van 2 weken voor onze betaalde plans of maak een Gratis account aan …
Bevat het besluit aanbevelingen met betrekking tot de registratie van verwerkingsactiviteiten (“ROPA”)?
Ja. Het BDPA “beveelt ten zeerste aan dat de derde landen waaraan verschillende categorieën van persoonsgegevens worden doorgegeven, in de ROPA worden aangegeven en gemakkelijk kunnen worden geïdentificeerd, met name gelet op de zaak Schrems II” (zie onze vorige Law Now). Bijgevolg heeft het BDPA de verweerder gelast zijn ROPA aan te passen zodat deze derde landen uitdrukkelijk worden vermeld (louter verwijzen naar documenten van onderaannemers waarmee u overeenkomsten hebt gesloten is niet voldoende).
Moet ik mijn niet-beveiligde http-website upgraden naar https?
Ja. Anders kan dit een inbreuk vormen op de beveiligingsverplichting uit hoofde van de GDPR. Bij http is de procedure voor communicatie tussen een webbrowser en een server een protocol dat gegevens in duidelijke tekst overdraagt, d.w.z. niet ingekapseld in een tunnel zoals het TLS-protocol zou doen voor een https-verbinding.
Wanneer zal de EU eindelijk haar nieuwe regels inzake cookies goedkeuren (verordening betreffende privacy en elektronische communicatie (ePrivacy))?
De ontwerp ePrivacy-verordening van de EU is nog steeds niet goedgekeurd. Het is nu aan het Franse voorzitterschap (dat van 1 januari tot en met 30 juni 2022 het roulerend voorzitterschap van de Raad van de EU bekleedt) om de onderhandelingen met het EU-parlement vooruit te helpen. Aangezien er nog steeds onenigheid bestaat over het huidige ontwerp, zal de verordening naar verwachting niet voor 2023 in werking treden. Een mogelijke overgangsperiode van 24 maanden betekent dat de verordening niet voor 2025 in werking zal treden. Intussen heeft de EU-privacytoezichthouder, de EDPB, op 19 januari 2022 een brief goedgekeurd waarin hij oproept tot een consequente interpretatie van de toestemming voor cookies.