Technologiebedrijf mag niet langer tracking cookies op de computer van eiser plaatsen zonder zijn toestemming

Vzr. Rb. Amsterdam 18 oktober 2023, IT 4404; ECLI:NL:RBAMS:2023:6530 (Eiser tegen Criteo). Eiser is een Nederlandse natuurlijke persoon. Gedaagden zijn rechtspersonen die onderdeel uitmaken van het Criteo-concern. Criteo is een belangrijke speler in de ‘Adtech-industrie’. Criteo plaatst via de website van derden zogeheten ‘tracking cookies’ op computers en/of mobiele apparaten. Tracking cookies bevatten een uniek ID, een willekeurige lijst van karakters, die wordt toegewezen aan de browser van een bepaalde websitebezoeker. Bij iedere website die een link heeft met Criteo en die met die browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Het doel van Criteo met de tracking cookies is om advertenties af te stemmen op het gedrag van websitebezoekers. Dit is ook gebeurd bij eiser zonder dat hij daarvoor toestemming heeft verleend, waardoor hij stelt dat in strijd met de AVG en de telecommunicatiewet is gehandeld. Eiser vordert staking en gestaakt houden van het plaatsen van tracking cookies via websites van derden door Criteo. Daarnaast vordert eiser dat hij in kan zien met wie zijn persoonsgegevens gedeeld zijn en dat deze verwijderd worden.

Het plaatsen van tracking cookies is alleen toegestaan indien voorafgaande toestemming is verkregen door gebruikers. Daarnaast dienen gebruikers voldoende informatie te verkrijgen voor het gebruik van cookies. Criteo verwerkt persoonsgegevens door het gebruik van tracking cookies, waardoor ook voldaan moet worden aan de eisen van de AVG. Criteo betwist dit niet, maar stelt dat de derden (haar partners) verantwoordelijk zijn voor het verkrijgen van deze toestemming. Deze partners staan in direct contact met eindgebruikers (bijvoorbeeld websitebezoekers), Criteo niet. De voorzieningenrechter oordeelt dat Criteo zelf verantwoordelijk is voor het op rechtmatige wijze verkrijgen van toestemming voor het plaatsen van cookies. Criteo en haar partners zijn hun verplichtingen niet nagekomen, omdat de cookies al geplaatst zijn voordat eiser iets kan kiezen. Ook worden soms cookie-informatie ontvangen door Criteo indien gebruikers de cookies weigeren. Criteo stelt nu wel te voldoen aan de gestelde eisen van de AVG door partners deze verplichtingen contractueel op te leggen, maar dit is volgens de voorzieningenrechter niet voldoende. Criteo treedt namelijk pas op als zij een signaal krijgt dat partners niet hun verplichtingen nakomen. Reactief optreden is volgens de voorzieningenrechter niet voldoende, Criteo dient te waarborgen dat vooraf toestemming is verkregen. Eiser heeft volgens de voorzieningenrechter recht op inzage in met partijen de persoonsgegevens zijn gedeeld, omdat deze partijen ook in strijd hebben gehandeld met de AVG. Daarnaast dienen haar gegevens verwijderd te worden door Criteo en is Criteo gehouden om te staken tracking cookies te plaatsen op de computer en/of apparaten van eiser alvorens zij daarvoor toestemming heeft gegeven.

4.14.

Volgens Criteo verleent zij diensten aan haar partners, de zogenaamde ‘publishers’, die advertentieruimte wensen te verkopen aan adverteerders. Deze publishers staan in direct contact met eindgebruikers (bijvoorbeeld websitebezoekers), Criteo niet. Criteo verstrekt aan de partner een Java Script, software die door de partner in diens website kan worden geïntegreerd waardoor tracking cookies van Criteo kunnen worden geplaatst op devices van eindgebruikers (zoals [eiser] ). Met behulp van deze cookies wordt informatie verzameld die helpt bij het personaliseren van advertenties, zodat aan de eindgebruiker advertenties worden getoond die aansluiten bij hun interesses. 

4.15.

Partijen zijn het er over eens dat Criteo en haar partners gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 AVG zijn (‘joint controllers’). 

4.16.

De voorzieningenrechter is van oordeel dat Criteo zich voor het verkrijgen van toestemming niet kan verschuilen achter haar partners. Criteo heeft het verkrijgen van toestemming contractueel uitbesteed aan haar partners en dat mag. Dat betekent dat áls de partner informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, Criteo dat niet óók hoeft te doen (vgl. Rechtbank Amsterdam 15 maart 2023, ECLI:NL:RBAMS:2023:1407, r.o. 14.15). 

Criteo blijft echter (ook) zelf verantwoordelijk om te bewerkstelligen dat op een rechtsgeldige en rechtmatige wijze toestemming wordt verkregen voor het plaatsen en uitlezen van de uid cookie en kan daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat. 

Dat overweegt ook het CNIL in haar beslissing van 15 juni 2023 (zie …) onder 61: 

“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”