Grote internetbedrijven hebben toestemming nodig voor het plaatsen van tracking cookies. Dat de cookies via derde partijen worden geplaatst, ontslaat hun niet van hun verantwoordelijkheid, aldus de Rechtbank Amsterdam in een kort geding tussen een anonieme eiser en LinkedIn en Microsoft.
Grote internetondernemingen mogen niet zonder toestemming tracking cookies plaatsen of uitlezen. Dit is namelijk in strijd met de AVG en de Telecommunicatiewet. Dat oordeelt de Rechtbank Amsterdam in een kort geding tussen een particulier en LinkedIn en moederbedrijf Microsoft.
Tracking cookies zijn cookies die ook bij bezoek aan andere sites kunnen worden uitgelezen. Zo kunnen organisaties het gedrag van hun sitebezoekers door de tijd heen volgen en bijvoorbeeld gebruikersprofielen opstellen. De eiser stelde in het kort geding dat het plaatsen van zulke tracking cookies zonder toestemming strijdig is met privacyregels.
In de zaak ging het vooral om tracking cookies van derde partijen. LinkedIn biedt de dienst LinkedIn Marketing Solutions aan voor bedrijven die campagnes voeren met gerichte gebruikers, waarvoor tracking cookies worden geïnstalleerd. Moederbedrijf Microsoft doet met de dienst Microsoft Advertising iets vergelijkbaars.
Uit onderzoek door het Engelse bedrijf Collective Shift, dat werd ingehuurd door de advocaat van de eiser, bleek dat de trackingcookies van deze diensten op de computer van de eiser stonden. Dat terwijl hij daar expliciet geen toestemming voor had verleend. Microsoft verzamelt op deze wijze individuele persoonlijke data over de het internetgedrag van de eiser, was de conclusie van Collective Shift.
LinkedIn en Microsoft noemden het rapport van Collective Shift een “broddelwerk", maar ook uit hun eigen technische analyses bleek dat 19 van de 52 door de eiser bezochte websites tracking cookies plaatsen zonder voorafgaande toestemming, of zelfs nadat de toestemming expliciet is geweigerd.
Dat er voor het plaatsen en leveren van tracking cookies voorafgaande toestemming van de betrokkene nodig is, op basis van artikel 11.7a van de Telecommunicatiewet en voor het verwerken van daarop verzamelde persoonsgegevens op grond van de AVG, daar zijn de gedaagden het mee eens. Maar zij voerden tegen vorderingen van de eiser aan dat zij voor een deel van de tracking cookies niet de verwerkingsverantwoordelijke zijn maar slechts verwerker, en dat de verplichting op grond van de Telecommunicatiewet bij de websitebeheerders die gebruikmaken van de marktering tools en niet bij gedaagden ligt.
De rechter gaat daar niet in mee. “De betrokken gedaagden kunnen zich voor het verkrijgen van toestemming niet verschuilen achter hun partners. Zij hebben het verkrijgen van toestemming contractueel uitbesteed aan haar partners en dat mag. Dat betekent dat áls de partner informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, gedaagden dat niet óók hoeven te doen. De betrokken gedaagden blijven als verwerkingsverantwoordelijken echter (ook) zelf verantwoordelijk voor het bewerkstelligen van het verkrijgen van toestemming op rechtsgeldige en rechtmatige wijze voor het plaatsen en uitlezen van de tracking cookies en zij kunnen daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat”, staat in het vonnis.
De gedaagden moeten staken met het zonder toestemming plaatsen en uitlezen van tracking cookies op de apparaten van de eiser. Bij overtreding moeten zij de eiser per overtreding per dag 500 tot 1.000 euro betalen, tot een maximum van 25.000 euro per gedaagde.
