De EDPB is de hoogste toezichthoudende autoriteit voor de GDPR in de EU. Zijn richtsnoeren vormen de basis voor de toepassing van de GDPR door de nationale gegevensbeschermingsautoriteiten in elke lidstaat. Hoewel het plaatsen van cookies en andere trackers specifiek onder de ePrivacy-richtlijn valt, was de EDPB van oordeel dat het aantal betrokken landen, alsook het belang van het onderwerp voor de bescherming van de privacy van internetgebruikers, een zekere mate van coördinatie op Europees niveau rechtvaardigen. De EDPB heeft daarom een werkgroep opgericht die zich bezighoudt met de aanvaardings- en weigeringsmodaliteiten van cookies en met het ontwerp van banners.

Cookies en andere trackers maken het bijvoorbeeld mogelijk om informatie over een internetgebruiker te verzamelen, zoals zijn leeftijd, woonplaats of zelfs zijn interesses en consumptiegewoonten, om hem vervolgens ‘aangepaste’ producten, diensten of reclame aan te bieden. Sommige websites en mobiele applicaties maken gebruik van ‘cookiemuren’ of ‘cookie walls’. In het kort: om toegang te krijgen tot een onlinedienst, moet de internetgebruiker aanvaarden dat er bepaalde trackers op zijn toestel (computer, smartphone enz.) worden geplaatst. Op sommige sites kan de gebruiker de cookies weigeren, maar staat daar een tegenprestatie tegenover. In de meeste gevallen gaat het om een financiële vergoeding, we spreken dan van een ‘paywall’.

Zoals in de EDPB-richtsnoeren staat, kan de vrijheid van toestemming in sommige gevallen in het gedrang komen wanneer men aan de levering van een dienst of de toegang tot een website de voorwaarde koppelt om bepaalde cookies te activeren. Hoewel de vereiste van een ‘vrije’ toestemming niet betekent dat cookiemuren in het algemeen verboden zijn, moet de wettelijkheid ervan beoordeeld worden in functie van het bestaan van een of meer realistische en toereikende alternatieven voor het weigeren van de trackers.

In ieder geval moet de internetgebruiker altijd de mogelijkheid hebben om via de instellingen van de website toestemming te geven voor bepaalde vormen van gebruik (bijvoorbeeld personalisering van redactionele inhoud). Zijn handelingen op zich – zoals gewoon door een website scrollen (dat wordt beschouwd als impliciete toestemming) – voldoen niet aan de vereiste voor geldige toestemming volgens de GDPR. Dat betekent dus, volgens de richtsnoeren van de EDPB, dat de cookiebanner van uw website niet mag aangeven dat verder surfen op de site wordt beschouwd als toestemming voor cookies die persoonsgegevens verwerken, aangezien dat geen geldige vorm van toestemming is (de GDPR eist expliciete toestemming). In plaats daarvan moet de cookiebanner op uw website interactief zijn en mag de website geen cookies activeren die persoonsgegevens verzamelen totdat de gebruiker de cookiecategorieën heeft geselecteerd die hij wil toestaan (dat wordt voorafgaande toestemming genoemd).

Het gebruik van standaard aangevinkte vakjes voldoet zeker niet aan de GDPR, het beantwoordt immers niet aan de eis van een duidelijke en positieve handeling. Wat het ontwerp van de banners betreft, concludeerden de verschillende toezichthoudende autoriteiten in de lidstaten dat de verstrekte informatie de internetgebruikers in staat moet stellen te begrijpen waarmee ze instemmen en hoe ze hun keuze kenbaar kunnen maken. De autoriteiten zijn het erover eens dat ze niet voor alle websites een norm in termen van kleur of contrast kunnen opleggen. Er moet geval per geval worden nagegaan of het gekozen ontwerp (bv. kleur/contrast) niet duidelijk misleidend is voor de gebruikers.