Google en Facebook hebben van de Franse privacy waakhond boetes ontvangen van respectievelijk € 150 en € 60 miljoen euro. Beide bedrijven zouden het gebruikers te moeilijk maken om tracking cookies te weigeren.
De CNIL publiceerde onlangs twee besluiten waarin zij aan Facebook Ireland Limited en aan Google LLC en Google Ireland Limited een boete oplegde wegens het niet naleven van de cookiewetgeving. De platforms hebben drie maanden te tijd om hun praktijken aan te passen. Doen ze dat niet, dan ontvangen ze per 1 april a.s. een boete van € 100.000 voor elke dag dat de overtreding voortduurt.
Tracking cookies (ook wel marketing cookies genoemd) zijn kleine stukjes code die het gedrag van websitebezoekers verzamelen. De gegevens die daarmee worden verkregen, worden gebruikt om een profiel op te stellen van de websitebezoeker. Met de data die dit oplevert, krijgen advertentiebedrijven inzicht in welke reclame het beste getoond kan worden aan een bepaalde gebruiker.
Meer over cookies lees je hier en hier .
Volgens Europese privacywetgeving moeten internetgebruikers voor het gebruik van deze cookies eerst expliciet toestemming geven. De CNIL beroept zich in dit verband op artikel 82 van de Franse Data Beschermingswet – een wet ter uitvoering van de Europese e-Privacy Richtlijn – en benadrukt dat deze toestemming vrij moet zijn. Daarvan is aldus de CNIL pas sprake wanneer het accepteren van cookies net zo eenvoudig is als het weigeren ervan.
Bij Google en Facebook was dit niet het geval. De cookiebanners boden weliswaar de mogelijkheid om met 1 klik alle cookies te accepteren, maar voorzagen niet in een gelijkwaardige oplossing om alle cookies in één keer te weigeren. Gebruikers die willen weigeren moeten meerdere stappen doorlopen: voor Google vijf en voor Facebook minstens drie kliks. Dit beïnvloedt de vrijheid waarmee gebruikers toestemmen. In feite is hierdoor sprake van een gestuurde toestemming.
Ook artikel 7 lid 3 van de Algemene Verordening Gegevensbescherming (AVG) noemt als voorwaarde voor het verkrijgen van toestemming, dat het intrekken daarvan net zo eenvoudig moet zijn als het geven. Op cookies is zoals gezegd ook de e-Privacy Richtlijn van toepassing en tot slot kennen we in Nederland nog de Cookiewet, als onderdeel van de Telecomwet.
De Franse privacy waakhond deelt hiermee haar hoogste boete tot nu toe uit. De CNIL handhaaft sinds een jaar of twee streng op cookies en is de eerste Europese autoriteit die zo expliciet boetes oplegt voor gestuurde toestemming. Waar het om cookies gaat loopt Frankrijk voorop. Het valt daarom te verwachten dat ook toezichthouders uit andere lidstaten, zoals de Autoriteit Persoonsgegevens, deze ontwikkelingen op de voet volgen en hier mogelijk hun beleid op zullen aanpassen.