4.1. Een eenduidig juridisch kader? 4.1.1. Harmonisatie toestemmingsbegrip
145 EDPB 2018, p. 3, 4. 146 EDPS 2017, p. 16-17.
Uit het vorige hoofdstuk kan de conclusie worden getrokken dat het toestemmingsbegrip lijkt te zijn geharmoniseerd. Voor de definitie van toestemming verwijzen zowel de e- Privacyrichtlijn, de Telecommunicatiewet als de e-Privacyverordening naar de definitie in de AVG. Ook uitleg door de WP29 van het toestemmingsbegrip zoals neergelegd in de e- Privacyrichtlijn, komt overeen met de vereisten uit de AVG, waarbij de AVG de vereisten echter wel nader heeft gespecificeerd. Zodoende zijn de vereisten voor het verkrijgen van een geldige toestemming overeenkomstig de AVG, van toepassing op de opslag van informatie en de toegang van reeds opgeslagen informatie in de eindapparatuur van gebruikers.
4.1.2. Verschillende bepalingen betreffende het al dan niet toestaan van een cookiewall
Ondanks de harmonisatie van het toestemmingsbegrip, bestaat er geen eenduidig kader met betrekking tot het plaatsen van een cookiewall. De e-Privacyrichtlijn staat toe dat aan toegang tot specifieke inhoud van een website de voorwaarde mag worden verbonden, hiervoor cookies of een soortgelijke voorziening te plaatsen. Hiermee lijkt het plaatsen van een cookiewall op grond van deze richtlijn niet verboden. Ook de Nederlandse regering heeft het plaatsen van een cookiewall op grond van de Telecommunicatiewet toegestaan. Volgens de regering is het weigeren van toegang tot een website, indien een gebruiker niet akkoord gaat met het plaatsen van cookies, een rechtmatige manier om aan het toestemmingsvereiste te voldoen. De laatst herziende versie van de e-Privacyverordening bevat ook geen verbod op het plaatsen van een cookiewall. Volgens de verordening is het afhankelijk maken van toegang tot de een website van toestemming over het algemeen niet disproportioneel, bijvoorbeeld wanneer een gebruiker de mogelijkheid heeft om te kiezen tussen een vergelijkbaar aanbod zonder de verplichting cookies te accepteren. De AVG kent geen specifieke bepaling die het plaatsen van een cookiewall al dan niet toestaat. De AP heeft echter op grond van de AVG geoordeeld dat het plaatsen van een cookiewall is verboden, omdat websitebezoekers geen echte of vrije keuze hebben om de cookies te weigeren zonder nadelige gevolgen. Dit gebrek aan eenduidigheid in regelgeving brengt de rechtszekerheid in gevaar, wat zeer onwenselijk is. Zowel de e-Privacyrichtlijn, de Telecommunicatiewet, als de AVG zijn huidig geldend recht, maar lijken elkaar tegen te spreken. Ook de bepalingen in de e-Privacyverordening en de AVG geven geen eenduidig kader. Duidelijkheid over de verhouding tussen de wetgevingsregimes kan een oplossing bieden.
Regels uit de e-Privacyrichtlijn dienen ter specificatie en aanvulling op de AVG. Volgens de EDPB is artikel 5 lid 3 e-Privacyrichtlijn een lex specialis ten opzichte van de AVG en heeft het daarom voorrang op artikel 6 AVG. Omdat artikel 5 lid 3 e-Privacyrichtlijn het plaatsen van cookies slechts toestaat indien toestemming is verkregen, mag een dergelijke verwerking niet op een van de andere grondslagen uit artikel 6 AVG worden gebaseerd. Wanneer die gegevens verkregen uit het plaatsen van cookies vervolgens verder worden verwerkt voor OBA, is volgens de EDPB hiervoor een aanvullende grondslag uit artikel 6 AVG vereist. Deze aanvullende werking blijkt ook uit artikel 95 van de AVG. Indien uit de e- Privacyrichtlijn specifieke verplichtingen volgen met een andere doelstelling, heeft de AVG een aanvullende verplichting. Beredeneerd kan worden dat artikel 5 lid 3 e-Privacyrichtlijn een andere doelstelling heeft dan artikel 6 AVG. De AVG heeft als doel het waarborgen van het fundamentele recht op bescherming van persoonsgegevens.147 Het primaire doel van de e-
Privacyrichtlijn is meer specifiek: het harmoniseren van nationale regelgeving die nodig is om het fundamentele recht op de persoonlijke levenssfeer te beschermen bij de verwerking van persoonsgegevens, in de sector van elektronische communicatie.148 De doelstellingen van
artikel 5 lid 3 en artikel 6 lijken te verschillen, wat als gevolg heeft dat de AVG aanvullende verplichting heeft. Indien toestemming voor het plaatsen van een cookiewall overeenkomstig artikel 6 AVG niet geldig kan worden gegeven en geconcludeerd wordt dat het plaatsen van een cookiewall niet is toegestaan, lijkt het onmogelijk om op grond van de e-Privacyrichtlijn het gebruik van een cookiewall wel toe te staan.
4.1.4. Verhouding tussen e-Privacyverordening en AVG
De regels uit de e-Privacyverordening zullen dienen ter specificatie en aanvulling van de AVG en zullen het beschermingsniveau van de AVG niet verlagen. Wanneer de e- Privacyverordening geen specifieke regels voor een bepaald onderwerp opstelt, zullen de algemene regels uit de AVG gelden. Het voorstel van de e-Privacyverordening bevat een specifieke bepaling met betrekking tot het plaatsen van cookies waarin het gebruik van een cookiewall wordt toegestaan.149 Indien uit de tekst van de AVG geconcludeerd kan worden
dat een cookiewall niet is toegestaan, leidt dit tot strijdigheid. De e-Privacyverordening doet in dit geval afbreuk aan de algemene benadering over het plaatsen van een cookiewall overeenkomstig de AVG. Het toestaan van een cookiewall op grond van de e- Privacyverordening leidt tot een lager beschermingsniveau voor gebruikers, wat in strijd is
147 Art. 1 lid 2 AVG.
148 Art. 1 lid 1 e-Privacyrichtlijn. 149 Ov. 20 e-Privacyverordening.
met de opgenomen doelstellingen. Indien op grond van de AVG geconcludeerd kan worden dat het plaatsen van een cookiewall niet is toegestaan, lijkt het niet mogelijk om dit op grond van de e-Privacyverordening wel toe te staan.
4.2. De cookiewall en de voorwaarden voor toestemming 4.2.1. Vrije toestemming
Er bestaat onduidelijkheid of bij het plaatsen van een cookiewall toestemming vrij kan worden gegeven. Een vrije keuze impliceert volgens de WP29 dat de betrokkene een werkelijke keuze en controle heeft. Toestemming kan niet vrij worden gegeven indien de keuze van de betrokkene wordt ingeperkt door de gevolgen van het weigeren van toestemming of wanneer toestemming niet zonder nadelige gevolgen geweigerd of ingetrokken kan worden. Volgens de WP29 kan onder nadelige gevolgen het verminderen van een dienst worden verstaan. Voor vrije toestemming is verder vereist dat toestemming afzonderlijk voor verschillende verwerkingen kan worden gegeven. Ook mag er geen wanverhouding bestaan tussen de verwerkingsverantwoordelijke en de betrokkene. Toestemming kan blijkens artikel 7 lid 4 AVG niet vrij worden gegeven, indien het aanvaarden van een verwerking voorwaardelijk wordt gesteld aan het uitvoeren van een overeenkomst of het verlenen van een dienst, terwijl dit niet noodzakelijk is voor het uitvoeren van de overeenkomst of verlenen van de dienst. De WP29 is van mening dat toestemming niet kan worden geacht vrij te zijn verleend, indien enerzijds een dienst wordt aangeboden waarvoor toestemming nodig is voor het verwerken van persoonsgegevens en anderzijds een gelijkwaardige dienst wordt aangeboden door een andere verwerkingsverantwoordelijke. De alternatieve dienst moet aldus worden aangeboden door dezelfde verwerkingsverantwoordelijke. In het voorstel voor de e-Privacyverordening is deze beredenering ook opgenomen. Volgens de Raad van Europa zijn cookiewalls toegestaan, op voorwaarde dat er een gelijkwaardige dienst wordt aangeboden door dezelfde partij waarbij de gebruiker cookies niet hoeft te accepteren.
Een cookiewall kan tot gevolg hebben dat een gebruiker eerder akkoord gaat met het plaatsen van tracking cookies, omdat anders de website niet kan worden bezocht, dan wanneer een gebruiker hiermee niet wordt geconfronteerd. Geconcludeerd kan worden dat de keuzevrijheid van de betrokkene door het plaatsen van een cookiewall wordt ingeperkt. Volgens de AP is een cookiewall op grond van de AVG niet toegestaan, omdat gebruikers geen echte of vrije
keuze hebben om tracking cookies te weigeren, doordat het weigeren nadelige gevolgen met zich meebrengt. De AP verstaat onder deze nadelige gevolgen, het niet kunnen krijgen van toegang tot een website. Het is echter niet helemaal duidelijk of het standpunt van de AP juist is. Uit de AVG blijkt namelijk niet specifiek wat wordt verstaan onder nadelige gevolgen. Daarnaast kan gesteld worden dat er geen sprake is van nadelige gevolgen wanneer een betrokkene geen toegang tot een website krijgt, indien er een alternatief beschikbaar is. Er zou zelfs beredeneerd kunnen worden dat wanneer een gebruiker geen toegang krijgt tot een website waar diegene niet van afhankelijk is, geen nadelige gevolgen voor de gebruiker meebrengt zónder het beschikbaar zijn van een alternatief. De gebruiker heeft in een dergelijk geval de keuze om geen gebruik te maken van de website. Vanuit dit perspectief is dit geen wezenlijk nadelig gevolg voor een gebruiker en zou de gebruiker het kunnen opvatten als slechts vervelend.
4.2.2. Overige vereisten voor toestemming
Voor een geldige toestemming is tevens vereist dat het specifiek moet kunnen worden gegeven, ten opzichte van een of meerdere doeleinden. Daarnaast moet een betrokkene worden geïnformeerd overeenkomstig de AVG. Hierbij is het belangrijk dat toestemmingsverzoek in duidelijke en eenvoudige taal wordt verstrekt en moet het gescheiden zijn van andere informatie. Toestemming dient vooraf aan de verwerking te worden gegeven. Tot slot vereist toestemming dat het ondubbelzinnig wordt gegeven, door middel van een duidelijke actieve handeling. Volgens de Nederlandse regering houdt dit in, dat naast de mogelijkheid om in te stemmen met het plaatsen van cookies ook de mogelijkheid wordt geboden om te weigeren.
Bij het plaatsen van een cookiewall wordt niet voldaan aan de vereisten van specifieke toestemming, omdat er slechts de optie bestaat om alle verwerkingen te accepteren en de betrokkene niet de mogelijkheid heeft om voor verschillende verwerkingen afzonderlijk toestemming te geven. Ook het verschaffen van een duidelijk en eenvoudig toestemmingsverzoek bij het plaatsen van een cookiewall kan problemen opleveren, aangezien het plaatsen van tracking cookies een complexe uitleg betreft. Tot slot kan aan het vereiste van een ondubbelzinnige toestemming kan ook niet worden voldaan. Een cookiewall biedt namelijk slechts een optie in de vorm van een accepteer-knop, waarmee gebruikers geen mogelijkheid hebben om de cookies te weigeren. Uit het voorgaande moet worden
geconcludeerd dat het plaatsen van een cookiewall niet in overeenstemming is met de vereisten voor het verkrijgen van een geldige toestemming.