Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Hoge Nieuwstraat 8, 2514 EL Den Haag
T 070 8888 500 - F 088-0712140
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
A.S. Watson Health & Beauty Continental Europe B.V.
T.a.v. de directie
Postbus 34
3927 ZL Renswoude

Contactpersoon
[VERTROUWELIJK]
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete voor het overtreden van de Algemene verordening
gegevensbescherming

Geachte leden van de directie,

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten om aan A.S. Watson Health & Beauty Continental Europe B.V. (hierna: A.S. Watson) een bestuurlijke boete van € 600.000,- op te leggen voor de overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, van de Algemene verordening gegevensbescherming (hierna: AVG). De reden hiervoor is dat A.S. Watson geen rechtmatige grondslag heeft voor het verwerken van persoonsgegevens omdat zij heeft nagelaten toestemming te vragen aan betrokkenen voor de verwerking van hun persoonsgegevens door middel van (tracking) cookies bij het bezoeken van de website kruidvat.nl.

De AP is van oordeel dat het opleggen van een bestuurlijke boete aan A.S. Watson niet alleen gepast is maar ook noodzakelijk. A.S. Watson heeft namelijk de rechten en vrijheden van burgers geschonden door hun persoonsgegevens op onrechtmatige wijze te verwerken. De AP vindt dat ernstig en gaat om die reden over tot handhaving jegens A.S. Watson.

In dit besluit wordt de bestuurlijke boete toegelicht. Hiertoe wordt achtereenvolgens ingegaan op de aanleiding van het onderzoek, de bevindingen van het onderzoeksrapport, het procesverloop, de zienswijze van A.S. Watson, de overtreding en de hoogte van de boete. Tot slot volgt het dictum.

2/29

1. Aanleiding onderzoek 1. A.S. Watson is een onderneming gevestigd in Renswoude1 en actief als financiële holding die verschillende groothandels- en detailhandelsondernemingen beheert en exploiteert. Kruidvat is een dochteronderneming binnen het concern van A.S. Watson.

2. De afdeling Eerstelijns Onderzoek van de directie Klantcontact en Controlerend Onderzoek van de AP heeft in oktober en november 2019 een onderzoek gestart naar verschillende websites, waaronder kruidvat.nl, om te toetsen of die websites voldeden aan de eisen die aan het plaatsen van (tracking-) cookies worden gesteld. Daarbij werd tevens nagegaan of toestemming van betrokkenen werd gevraagd voor het verwerken van persoonsgegevens door middel van (tracking-) cookies, alsmede de wijze waarop het geven van deze toestemming was vormgegeven.

3. Op 29 november 2019 heeft de AP een normoverdragende brief aan A.S. Watson verzonden waarin is aangegeven dat vermoedelijk niet aan het geldende juridische kader werd voldaan. De AP heeft met genoemde brief A.S. Watson aangemoedigd om de werkwijze aangaande de toestemmingsprocedure voor (tracking-) cookies tegen het licht te houden.

4. De AP heeft op 28 april 2020, 7 mei 2020 en 16 juni 2020 technisch onderzoek gedaan en geconstateerd dat A.S. Watson de werkwijze niet had aangepast.

5. De AP heeft vervolgens een ambtshalve onderzoek ingesteld naar een mogelijke overtreding van de AVG door A.S. Watson.

2. Bevindingen onderzoeksrapport en procesverloop 6. De bevindingen van het onderzoek zijn neergelegd in een rapport.2 Deze paragraaf vat de belangrijkste bevindingen daaruit samen.

7. A.S. Watson heeft haar hoofdvestiging in Nederland.

1 Onderzoeksrapport, bijlage 8: uittreksel KvK. 2 Dossierstuk 1: onderzoeksrapport met bijlagen.

3/29

8. A.S. Watson is verwerkingsverantwoordelijke in de zin van de AVG van kruidvat.nl omdat zij zowel het doel en de middelen bepaalt als de wijze van vragen van toestemming van kruidvat.nl.3

9. In de privacyverklaring van kruidvat.nl staat dat bij een bezoek aan kruidvat.nl reclamecookies en tracking cookies worden geplaatst en uitgelezen.4 Hierbij worden de typen persoonsgegevens, het doel en de grondslag van de verwerking, de typen cookies alsook de bewaartermijn beschreven. Ook is er informatiegegeven over het delen van verzamelde informatie met derden. Ten slotte wordt de bezoeker van die website geïnformeerd over de mogelijkheid tot het aanmaken van een account en wordt de bezoeker geïnformeerd over de daarbij benodigde gegevens zoals de NAW-gegevens, de geboortedatum, het geslacht en e-mailadres.

10. De afdeling Eerstelijns Onderzoek van de directie Klantcontact en Controlerend Onderzoek van de AP heeft op 28 april 2020 technisch onderzoek verricht op de website kruidvat.nl en vastgesteld welke cookies, javascripts en web beacons (hierna gezamenlijk aangeduid als: ‘’cookies’’) worden geplaatst/ingeladen bij het bezoeken van kruidvat.nl. Omdat de bezoeker een toestemmingsprocedure moet doorlopen voor het delen van bepaalde gegevens (cookievenster), heeft de AP gekeken naar zowel de toestemmingsprocedure zelf als naar de plaatsing van cookies zowel vóór als na het doorlopen van de toestemmingsprocedure.

11. Gebleken is dat er zowel voorafgaand als na het doorlopen van de toestemmingsprocedure cookies werden geplaatst. Over een vijftal cookies is A.S. Watson door de AP bevraagd, in het bijzonder over het soort gegevensverwerking per cookie, het al dan niet toekennen van een unieke identificator aan (het apparaat van) de bezoeker, het doel van cookies en ten slotte eventuele verwerking door en verwerkingsovereenkomsten met derden.

12. In reactie op dat verzoek heeft A.S. Watson op 21 juli 2020 informatie aan de AP verstrekt over het vijftal gevraagde cookies. Mede naar aanleiding van de reactie die A.S. Watson heeft gegeven is in het onderzoeksrapport het volgende vastgesteld.

13. De first-party peerius_user cookie en de first_party unless_visitorID cookie kennen een unieke user-ID toe aan de websitebezoeker, met als doel personalisatie en het bijhouden van (toekomstige) herhalende bezoeken.

14. Het first-party peerius_sess cookie verzamelt informatie over het specifieke bezoek (de sessie) van een bezoekersapparaat op een bepaald moment. Het gaat dan om welke pagina’s bezocht worden, welke producten aan het winkelmandje worden toegevoegd en welke worden gekocht, op welke aanbevelingen wordt geklikt, het e-mailadres, user-ID, IP-adres en de user-agent. Het doel van deze cookie is om met

3 Onderzoeksrapport, bijlage 3: brief van A.S. Watson van 21 juli 2020. 4 Door de AP geraadpleegd op 23 september 2020 om 14:07 uur.

4/29

deze informatie over het bezoek een betere gebruikservaring aan te bieden aan de websitebezoeker achter de unieke user ID.

15. De first-party cookies hebben ook een bepaalde, door het technisch onderzoek vastgestelde geldigheidsduur: a. peerius_user: tot 14 januari 2040 11:39:10 uur (ca. 19 jaar en 9 maanden) b. unless_visitorID: tot 28 april 2021 11:39:10 uur (ca. 1 jaar) c. peerius_sess: tot 28 april 2020 15:39:10 uur (ca. enkele uren)

16. De third-party unless javascript verzamelt analytische gegevens per paginabezoek op basis van geaggregeerde/samengevoegde gedragsscores, de URL en zogenaamde custom events. Het IP-adres en de user-agent worden ook verwerkt en verzonden. Het IP-adres wordt niet opgeslagen, maar wel gebruikt om de locatie van de browsersessie te bepalen. Al deze gegevens worden door A.S. Watson verzonden aan een derde partij die deze gegevens verwerkt. Het doel van deze verwerkingen is personalisatie en het optimaliseren van de gebruikservaring. Met deze derde partij heeft A.S. Watson een verwerkersovereenkomst gesloten.

17. De third-party Google Analytics tracking beacon verzamelt gegevens5 met als doel het verkrijgen van statistische inzichten omtrent het gebruik van kruidvat.nl. Deze gegevens worden verzonden naar een derde partij (Google) waarmee een verwerkersovereenkomst is gesloten.

18. Tot slot is van elk van bovenstaande cookies vastgesteld dat deze zijn geplaatst vóórdat de bezoeker van kruidvat.nl toestemming had gegeven. Op 11 mei 2021 is nogmaals vastgesteld dat het third-party unless javascript werd uitgevoerd vóórdat toestemming was gegeven.

19. De wijze waarop A.S. Watson aan de bezoeker van de website kruidvat.nl toestemming vraagt voor het plaatsen van cookies bestaat uit een aantal stappen.6 In de eerste stap worden twee opties weergeven: “Ik ga akkoord met het gebruik van cookies” en ‘’Wilt u meer weten?’’.

20. In de tweede stap (na te klikken op ‘Wilt u meer weten?’’) wordt de keuze gegeven tussen “Akkoord en doorgaan’’ en ‘’Meer informatie’’.

21. In de derde stap (na te klikken op ‘’Meer informatie’’) wordt een schuifje zichtbaar met de opties ‘’Functionele Cookies’’, ‘’Verplichte Cookies’’ en “Reclame Cookies’’. A.S. Watson heeft ervoor gezorgd dat het schuifje

5 'User agents, Trafic sources-referrers/campaigns/Sources, client ID/visitor ID, Location, language, Page URL, Page Title, zie onderzoeksrapport, p. 28. 6 Onderzoeksrapport, bijlage 5: technisch onderzoek 28 april 2020.

5/29

standaard was ingesteld op de optie “Reclame Cookies’’. De drie andere opties waren ‘’Annuleren’’, ‘’Verstuur Voorkeursinstellingen’’ en ‘’Geavanceerde instellingen’’.

22. In de vierde stap (na te klikken op “Geavanceerde instellingen”) kan er apart toestemming worden gegeven voor Functionele Cookies en Reclame Cookies door op ‘’toestaan’’ te klikken. Er zijn tevens twee opties: ‘’Annuleren’’ en ‘’Verstuur Voorkeursinstellingen’’.

23. In stap vijf (na te klikken op “Verstuur Voorkeursinstellingen’’) wordt de websitebezoeker geïnformeerd over het feit dat de instellingen zijn verzonden en dat de toestemmingsprocedure ten einde is.

24. In het onderzoeksrapport is vastgesteld dat A.S. Watson toestemming als default heeft ingesteld als de hele procedure wordt doorlopen zolang er geen instellingen actief worden veranderd door de bezoeker.7

25. Ten tijde van het onderzoek heeft de afdeling Eerstelijns Onderzoek van de directie Klantcontact en Controlerend Onderzoek van de AP op 4 september 2020 vastgesteld dat het vragen van toestemming voor het plaatsen van cookies was gewijzigd, maar dat op diezelfde datum de ‘’Reclame cookies’’ nog standaard aangevinkt waren. De AP heeft A.S. Watson op 24 september 2020 hierop gewezen en aan aanvullende vragen aan A.S. Watson gesteld. Op 5 oktober 2020 heeft de AP vastgesteld dat de toestemmingsprocedure was aangepast en dat er geen sprake meer was van vooraf ingevulde vakjes/vooraf ingevulde toestemming. Deze wijziging is het resultaat van, volgens A.S. Watson, de implementatie van eLab 2.0, waarin een toekomstbestendig cookiebeleid wordt gebruikt door middel van een technische verbetering van de codebase van de website kruidvat.nl.

26. Desgevraagd heeft A.S. Watson te kennen gegeven dat het aantal bezoekers van kruidvat.nl in de periode van 29 november 2019 tot en met 25 juni 2020 op [VERTROUWELIJK] lag. Het is voor A.S. Watson onbekend om hoeveel unieke bezoekers het gaat vanwege de mogelijkheid dat dezelfde gebruiker verschillende apparaten gebruikt.8

27. Het vorenstaande is door de afdeling Eerstelijns Onderzoek van de directie Klantcontact en Controlerend Onderzoek van de AP neergelegd in een rapport, welk rapport op 1 juli 2021 is ondertekend en aan A.S. Watson is verzonden.9

7 Onderzoeksrapport, bijlage 5: technisch onderzoek 28 april 2020. 8 Onderzoeksrapport, bijlage 3: brief van A.S. Watson van 21 juli 2020. 9 Dossierstuk 1: onderzoeksrapport met bijlagen.

6/29

28. Bij brief van 19 augustus 2021 heeft de afdeling Handhaven van de directie Juridische Zaken en Wetgevingsadvies van de AP het voornemen geuit om tot handhaving over te gaan. A.S. Watson is daarbij in de gelegenheid gesteld om haar zienswijze op het onderzoeksrapport te geven.10

29. A.S. Watson heeft op 31 oktober 2021 schriftelijk haar zienswijze op het rapport gegeven.11

30. De afdeling Handhaven van de AP heeft bij brief van 14 januari 2022 A.S. Watson om aanvullende informatie gevraagd waarop A.S. Watson op 31 januari 2022 een reactie heeft gegeven.

31. Vanwege beperkte capaciteit bij de AP heeft deze procedure vervolgens stilgelegen. Op 11 oktober 2023 heeft A.S. Watson haar zienswijze mondeling toegelicht.

3. Juridisch kader 32. Voor een betere leesbaarheid van dit besluit is het relevante juridisch kader in de bijlage opgenomen. Het juridische kader maakt onderdeel uit van dit besluit.

4. Zienswijze A.S. Watson 33. A.S. Watson heeft – kort samengevat – de volgende zienswijze op het rapport gegeven.

34. Het onderzoek van de AP is onrechtmatig, omdat de cookies en vergelijkbare technieken op de website kruidvat.nl niet als openbare gegevens mogen worden aangemerkt en de AP zonder voorafgaande toestemming of medeweten van A.S. Watson haar virtuele erf heeft betreden. Daarnaast heeft de AP gebruik gemaakt van een ‘tool’ die niet gebruiksvriendelijk is. Daarom was de AP genoodzaakt om de resultaten daarvan inzichtelijk te maken via een kostbare software die niet aan iedereen ter beschikking staat.

35. Daarnaast ontbreekt de wettelijke grondslag voor het onderzoek dat de AP heeft uitgevoerd.

36. A.S. Watson kan uit de conclusie in het onderzoeksrapport niet afleiden tegen welke beschuldiging zij zich moet verweren. Daarmee zijn haar rechten van verdediging geschaad. Zo wordt in het onderzoeksrapport niet duidelijk of A.S. Watson één of meerdere overtredingen heeft begaan, welke overtreding in welke periode is begaan en wat de duur van de overtreding was.

10 Dossierstuk 2: Brief voornemen tot handhaving van 19 augustus 2021. 11 Dossierstuk 3: Schriftelijke zienswijze van A.S. Watson van 31 oktober 2021.

7/29

37. De AP heeft niet onderzocht hoeveel gebruikers zich daadwerkelijk registreren en of de verzamelde informatie te koppelen is aan de registratiegegevens van gebruikers. Evenmin heeft de AP onderzocht waarvoor de betreffende cookies werden gebruikt. Daarmee heeft de AP in strijd met het zorgvuldigheidsbeginsel gehandeld.

38. In het onderzoeksrapport is niet vastgesteld welke cookies werden geplaatst op het moment dat de optie “reclame cookies” werd geaccepteerd.

39. A.S. Watson beschikte niet over de feitelijke of juridische mogelijkheden om met behulp van cookies natuurlijke personen te identificeren.

40. Het gebruik van het begrip “persoonsgegeven” uit de Telecommunicatiewet (Tw) vormt de facto een ongeoorloofde oprekking van dat begrip zoals in de AVG is opgenomen.

41. A.S. Watson heeft bezoekers van haar website niet op andere websites gevolgd.

42. Het bezoekersaantal van de website kruidvat.nl kan niet als basis dienen voor het bepalen van de omvang en reikwijdte van een mogelijke overtreding.

43. Met het accepteren van de al aangevinkte vakjes hebben bezoekers van Kruidvat.nl uitsluitend toestemming gegeven voor de plaatsing van cookies en vergelijkbare technieken en daarmee is geen sprake van een dubbelzinnig gegeven toestemming.

44. A.S. Watson heeft geen gebruik gemaakt van de trackingfunctionaliteiten van ‘Unless’ en ‘Peerius’ in de periode tussen 1 oktober 2020 en 11 mei 2021 zonder voorafgaande toestemming van bezoekers.

45. A.S. Watson had voor het gebruik van Google Analytics in de periode vanaf 1 oktober 2020 geen toestemming van bezoekers nodig omdat vanaf die datum Google Analytics slechts wordt gebruikt voor het meten van de kwaliteit en effectiviteit van de website.

46. Voor zover sprake is van een overtreding dan was de duur ervan beperkt tot de periode tussen 28 april 2020 en 1 oktober 2020. Voor zover sprake is van een overtreding, dan zou een berisping meer in verhouding staan tot de overtreden norm die als een kleine inbreuk kan worden beschouwd.

8/29

5. Beoordeling 5.1 Verwerkingsverantwoordelijke en bevoegdheid AP

47. Vaststaat en niet in geschil is dat A.S. Watson verwerkingsverantwoordelijke is (artikel 4, aanhef en onder 7, AVG).

48. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht12 dat de AP als bevoegde13 toezichthoudende autoriteit dient te bewaken. Om hieraan te voldoen kent de AVG aan de AP onder meer de taak toe om de toepassing van de AVG te handhaven en te monitoren.14 Om deze taak te kunnen uitvoeren, heeft de AP onderzoeksbevoegdheden, zoals het verrichten van controles en het vorderen van informatie.15 Deze onderzoeksbevoegdheden worden ingezet door de inspecteurs die bij de AP werkzaam zijn.16 In het kader van onderzoek naar A.S. Watson hebben de inspecteurs van de AP de website kruidvat.nl bezocht en met gebruik van hulpmiddelen technisch onderzoek verricht en de resultaten daarvan in een verslag van ambtshandeling opgeschreven.

49. De website kruidvat.nl is een voor een ieder toegankelijke website. Dat is ook precies het doel van die website. Immers, A.S. Watson gebruikt kruidvat.nl om online producten aan consumenten te verkopen. De openbare bereikbaarheid van deze website is voor A.S. Watson (dus) essentieel. Anders dan A.S. Watson stelt, is de website kruidvat.nl daarom niet gelijk te stellen met een erf (of een privédomein). Het verrichten van onderzoek naar een publiekelijk toegankelijke website zoals kruidvat.nl kan naar het oordeel van de AP niet gelijkgesteld worden aan het betreden van een kantoorpand, een (neven)vestiging of een andere bedrijfsruimte. Van een inmenging op het privéleven, zoals A.S. Watson betoogt, is daarom geen sprake.17

50. De AP is op grond van de AVG bevoegd om onderzoek te verrichten naar de verwerking van persoonsgegevens en in voorkomend geval kan de AP overgaan tot handhaving wanneer sprake is van inbreuk op de AVG. In de Uitvoeringswet van de AVG en in hoofdstuk 5 van de Algemene wet bestuursrecht zijn die bevoegdheden nader bepaald. Die bevoegdheden strekken zich overigens ook uit tot het betreden van kantoorpanden, (neven)vestigingen en bedrijfsruimten. Het standpunt van A.S. Watson treft dan ook geen doel.

12 Overweging 1 bij de AVG en artikel 1 AVG. 13 Artikel 55, eerste lid, AVG. 14 Artikel 57, eerste lid, onder a, AVG. 15 Artikel 58, eerste lid, AVG. 16 Artikel 15, eerste lid, UAVG. 17 Artikel 8 Verdrag tot Bescherming van de Rechten van de Mens en Fundamentele Vrijheden (EVRM).

9/29

5.2 Rechtmatigheid bewijsvergaring

51. Onderzoekers van de AP zijn op grond van artikel 58 van de AVG en titel 5.2 van de Algemene wet bestuursrecht (Awb) bevoegd onderzoek te verrichten. Ingevolge artikel 5:18 van de Awb zijn zij bevoegd zaken te onderzoeken. In dit onderzoek hebben onderzoekers van de AP de voor een ieder vrij toegankelijke website kruidvat.nl bezocht om op die website technisch onderzoek te doen naar de werking van cookies. Dergelijk onderzoek valt onder de bevoegdheid genoemd in artikel 5:18 van de Awb. De omstandigheid dat gebruik is gemaakt van een computerprogramma om slechts de resultaten van het onderzoek inzichtelijk te maken, maakt niet dat de bewijsvergaring onrechtmatig is. Van onrechtmatige bewijsvergaring is dan ook geen sprake.

5.3 Zorgvuldigheidsbeginsel

52. Het betoog van A.S. Watson dat zij ten onrechte niet in de gelegenheid is gesteld een reactie te geven op het technisch onderzoek van 11 mei 2021 en dat daarom de AP in strijd heeft gehandeld met het zorgvuldigheidsbeginsel, faalt. En wel om het volgende.

53. Uit het onderzoeksrapport volgt dat technisch onderzoek heeft plaatsgevonden naar de cookies op de website kruidvat.nl op 28 april 2020, op 7 mei 2020 en op 17 juni 2020. De onderzoekers van de AP hebben naar aanleiding van dit onderzoek aan A.S. Watson bij brief van 26 juni 2020 onder meer gevraagd informatie te verstrekken over de cookies die de onderzoekers van de AP tijdens dat onderzoek zijn tegengekomen.1 Daarop heeft A.S. Watson op 21 juli 2020 gereageerd, waarna de onderzoekers op 24 september 2020 nog aanvullende vragen hebben gesteld. Ook op deze vragen heeft A.S. Watson gereageerd, en wel op 5 oktober 2020. Vervolgens is op 11 mei 2021 nogmaals een technisch onderzoek uitgevoerd, maar A.S. Watson is toen niet in de gelegenheid gesteld om daarop te reageren. Wél zijn het onderzoeksrapport en de onderliggende stukken op 1 juli 2021 aan A.S. Watson verstrekt. A.S. Watson heeft gebruik gemaakt van de haar geboden gelegenheid hierop een zienswijze naar voren te brengen.

54. De uitkomsten van het technisch onderzoek, mede in aanmerking genomen de door A.S. Watson naar voren gebrachte zienswijze, bieden naar het oordeel van de AP onvoldoende steun voor de vaststelling dat er bij de bezoekers van kruidvat.nl in de periode tussen 1 oktober 2020 tot 11 mei 2021 cookies werden geplaatst met het doel om persoonsgegevens te verwerken vóórdat de bezoekers daarvoor toestemming hadden gegeven. Dit betekent dat geen sprake is geweest van een overtreding van artikel 6, eerste lid, van de AVG in de periode tussen 1 oktober 2020 tot 11 mei 2021.

55. Van handelen in strijd met het zorgvuldigheidsbeginsel is naar het oordeel van de AP geen sprake. Integendeel, A.S. Watson is niet alleen op verschillende momenten in de gelegenheid gesteld om enkele vragen te beantwoorden naar aanleiding van bevindingen van de onderzoekers van de AP, A.S. Watson

10/29

heeft ook een zienswijze ingediend. Deze zienswijze heeft mede ten grondslag gelegen aan de conclusie van de AP dat geen sprake is van een overtreding in de periode tussen 1 oktober 2020 tot 11 mei 2021.

56. Gelet op het vorenstaande concludeert de AP dat geen sprake is van strijd met het zorgvuldigheidsbeginsel.

5.4 Verwerking van persoonsgegevens

57. In deze paragraaf wordt uiteengezet waarom de AP, anders dan A.S. Watson betoogt, van oordeel is dat A.S. Watson op kruidvat.nl persoonsgegevens heeft verwerkt door het plaatsen van cookies.

58. Bezoekers van de website kruidvat.nl hebben de mogelijkheid om zich te registreren. Daarbij wordt het adres, e-mailadres, geslacht, de (voor)naam en geboortedatum geregistreerd.18 Volgens A.S. Watson is circa [VERTROUWELIJK] van de bezoekers van kruidvat.nl geregistreerd.19 Dit betekent dat A.S. Watson van de geregistreerde bezoekers voornoemde persoonsgegevens verwerkt voordat de bezoekers daarover toestemming hebben gegeven.

59. Daarnaast volgt uit overweging 30 bij de AVG dat natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

60. A.S. Watson kent met behulp van cookies een unieke user-ID (of visitor-ID) toe aan iedere bezoeker, zoals uitgelicht in randnummers 13 tot en met 17 van dit besluit.

61. De unieke user-ID die de first party cookie ‘peerius_user’ en de unieke visitor-ID die first party cookie ‘unless_visitorId’ aan een bezoeker koppelen, hebben het doel om terugkerende bezoekers te volgen. Dit betekent dat een bezoeker die eerder kruidvat.nl heeft bezocht, kan worden geïdentificeerd met een unieke user-ID of visitor-ID en het IP-adres.

62. Ook gebruikt A.S. Watson de third party javascript van Unless en de third party tracking beacon van Google Analytics. Hiermee worden gegevens verzameld die naar Unless20 en Google Analytics21 worden

18Onderzoeksrapport, p. 11 (en bijlage 9 bij het onderzoeksrapport). 19 Spreekaantekeningen zienswijzezitting 11 oktober 2023, randnummer 3.7. 20 ‘aggregated behavorial scores, URL, custom events, IP and user-agent’, zie onderzoeksrapport, p. 27. 21 'User agents, Trafic sources-referrers/campaigns/Sources, client ID/visitor ID, Location, language, Page URL, Page Title, zie onderzoeksrapport, p. 28.

11/29

verzonden met het doel om een gepersonaliseerde ervaring te creëren gebaseerd op de unieke user-ID of visitor-ID. Unless en Google Analytics kunnen aldus op basis van deze verzamelde gegevens en de gegevens waarover zij beschikken een gepersonaliseerde ervaring terugkoppelen aan de website kruidvat.nl.

63. Deze gepersonaliseerde ervaring samen met de unieke user-ID of visitor-ID maakt dat van de bezoekers van kruidvat.nl profielen worden gemaakt. Daarnaast kan A.S. Watson ook zelf interesseprofielen voor personalisatiedoeleinden opstellen door gegevens te verwerken waaronder het navigatiegedrag op de webpagina’s (bekeken pagina’s) en de aan het winkelmandje toegevoegde producten en gekochte producten, geolocatie en IP-adres. Kruidvat.nl biedt een zeer grote verscheidenheid aan producten aan. Het kan gaan om gezondheidsproducten, verzorgingsproducten, huishoudelijke producten, maar ook elektronica, speelgoed en babyproducten. Met name het in samenhang bezien van aan het winkelmandje toegevoegde producten, gekochte producten en de geolocatie (via IP-adres) gekoppeld aan unieke user-ID of visitor-ID kan een zeer specifiek en invasief profiel schetsen van de bezoekers van kruidvat.nl. 22

64. De AP merkt in dit verband nog op dat A.S. Watson nota bene zelf in haar privacybeleid aangeeft dat zij persoonsgegevens van bezoekers verwerkt. Bezoekers worden in het privacybeleid namelijk nadrukkelijk geïnformeerd over de verwerking van hun persoonsgegevens. Voorbeelden zijn:

“In dit privacybeleid leggen we uit welke soorten persoonsgegevens we verzamelen […]”;23

“Welke persoonsgegevens mogen we verzamelen? Informatie over het type browser dat je gebruikt bij een bezoek aan onze Sites, je IP-adres en apparaatadres, hyperlinks waarop je hebt geklikt, de vorige website die je hebt bezocht voordat je op onze Sites kwam en informatie verzameld door cookies of soortgelijke trackingsystemen. Je gebruikersnaam, profielfoto, geslacht, netwerken en alle andere informatie die je wilt delen wanneer je Sites van derden gebruikt (zoals wanneer je de "Vind ik leuk"-functionaliteit op Facebook gebruikt)”;24 en

“wij kunnen onze Sites en onze producten ook afstemmen op jouw interesses en behoeftes, door informatie over je apparaat te verzamelen en deze te koppelen aan je Persoonsgegevens. Zo zorgen wij ervoor dat onze Sites afgestemd zijn wat interessant is voor jou”.25

65. Bij niet-geregistreerde bezoekers gaat het om de verwerking van een unieke user-ID of visitor-ID die inwisselbaar is met een naam. Een dergelijke online identificator geldt als persoonsgegevens in de zin van

22 Zie ter vergelijking: Gerechtshof Amsterdam, 5 december 2023, ECLI:NL:GHAMS:2023:2971. 23 Onderzoeksrapport, p. 10. 24 Onderzoeksrapport, p. 10. 25 Onderzoeksrapport, p. 11 (en bijlage 5, p. 9 bij het onderzoeksrapport).

12/29

artikel 4, onder 1, AVG. Het gaat er namelijk om dat het mogelijk26 is dat de betrokkene direct of indirect identificeerbaar is en dat is bij bezoekers van kruidvat.nl het geval met de unieke user-ID of visitor-ID.

66. Gelet op het voorgaande concludeert de AP dat A.S. Watson persoonsgegevens van de bezoekers van kruidvat.nl verwerkt.

5.5 Grondslag voor de verwerking van persoonsgegevens

67. Nu sprake is van verwerking van persoonsgegevens, moet vervolgens worden beoordeeld of A.S. Watson voor deze verwerking een grondslag heeft. De verwerking van persoonsgegevens is immers slechts rechtmatig indien daarvoor een grondslag aanwezig is.27

68. A.S. Watson plaatst cookies op de apparatuur van bezoekers van kruidvat.nl (vanaf nu: de betrokkene) met het doel om persoonsgegevens te verwerken. Voor het plaatsen van cookies heeft A.S. Watson toestemming van de betrokkene nodig. De toestemming die de betrokkene geeft moet bestaan uit een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, in combinatie met een ondubbelzinnige actieve handeling.28 Stilzwijgen, het gebruik van reeds aangekruiste vakjes of vinkjes, of inactiviteit geldt daarbij niet als toestemming.29

69. Uit het onderzoeksrapport volgt dat bij een bezoek aan kruidvat.nl op de apparatuur van de betrokkene cookies worden geplaatst voordat de betrokkene daarvoor toestemming heeft gegeven. Het gaat om de volgende cookies:

- First party cookie ‘peerius_user’; - First party cookie ‘unless_visitorId’; - Third party javascript van Unless; en - Third party tracking beacon van Google Analytics.30

70. Dit gegeven levert op zichzelf al een overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, AVG omdat zonder voorafgaande toestemming, aldus onrechtmatig, persoonsgegevens van de betrokkene worden verwerkt.

26 HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779 (Breijer), r.o. 42. 27 Artikel 6, eerste lid, AVG. 28 Zie artikel 4, aanhef en onder 11, AVG. 29 Overweging 32 bij de AVG; zie ook HvJ EU 1 oktober 2019, C-673/17, ECLI:EU:C:2019:801 (Planet 49), r.o. 61-63. 30 Onderzoeksrapport p. 11 en bijlage 5 bij het onderzoeksrapport p. 11 e.v.

13/29

71. Ook volgt uit het onderzoeksrapport dat de website kruidvat.nl standaard het vinkje op “akkoord” heeft geselecteerd, zodat de betrokkene standaard - by default dus – geacht wordt akkoord te gaan met het plaatsen van reclame cookies.31 Wil de betrokkene erachter komen of en zo ja hoe de “reclame-cookies” zijn ingesteld, dan moet de betrokkene de volgende stappen nemen .

72. De betrokkene heeft in de eerste stap onderaan de pagina de keuze uit “ik ga akkoord met het gebruik van cookies” of “wilt u meer weten”.

73. Eenmaal geklikt op “wilt u meer weten”, dan komt de betrokkene in de tweede stap bij een volgende ‘pop-up’ met daarin de keuze uit “akkoord en doorgaan” of “meer informatie”.

31 Onderzoeksrapport p. 12-15.

14/29

74. Vervolgens stuit de betrokkene in de derde stap op een volgende ‘pop-up’ met daarin een verticale schuif die standaard op “reclame cookies” is ingesteld. De betrokkene heeft in dit scherm de mogelijkheid om op “geavanceerde instellingen” te klikken.

75. Wanneer de betrokkene hierop klikt, verschijnt in de vierde stap een ‘pop-up’ met de mogelijkheid om functionele cookies en reclame cookies toe te staan of te weigeren.

76. De AP stelt vast dat in dit geval dus sprake is van vooraf aangevinkte (reclame) cookies. Volgens de jurisprudentie van het Hof van Justitie van de Europese Unie32 (HvJ EU) is geen sprake van een rechtsgeldige toestemming indien voor het plaatsen van cookies op de apparatuur van de betrokkene gebruik wordt gemaakt van een standaard aangevinkt selectievakje dat de betrokkene moet uitvinken ingeval hij weigert zijn toestemming te verlenen. Nu A.S. Watson gebruik heeft gemaakt van vooraf aangevinkte (reclame) cookies is dus geen sprake is van vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

77. De AP concludeert ten aanzien van vooraf aangevinkte (reclame) cookies dat er sprake is van een overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, AVG omdat A.S. Watson van de betrokkene geen toestemming als hiervoor bedoelde heeft gekregen voor de verwerking van persoonsgegevens. Daaruit volgt dat A.S. Watson onrechtmatig, want in strijd met de AVG, heeft gehandeld.

32 HvJ EU 1 oktober 2019, C-673/17, ECLI:EU:C:2019:801 (Planet 49), r.o. 63.

15/29

5.6 Duur van de overtreding

78. A.S. Watson heeft per 1 oktober 2020 haar werkwijze aangepast met betrekking tot het vragen van toestemming aan de betrokkene voor het plaatsen van (de hiervoor genoemde) cookies bij een bezoek op kruidvat.nl. Deze aanpassing houdt in dat alle andere cookies, dan uitsluitend noodzakelijke cookies, niet standaard aangevinkt zijn.

79. Verder volgt uit het onderzoeksrapport dat op 11 mei 2021 de Third party javascript van Unless werd aangetroffen voordat de betrokkene daarvoor toestemming had gegeven.33 A.S. Watson heeft toegelicht en aannemelijk gemaakt dat de Third party javascript van Unless na 1 oktober 2020 alleen actief werd nadat de betrokkene daarvoor toestemming had gegeven. Nu in het onderzoeksrapport uitsluitend is vastgesteld dat genoemd javascript is aangetroffen, zonder dat de functionaliteit ervan blijkt, en mede gelet op hetgeen A.S. Watson in haar zienswijze op dit punt heeft aangevoerd, concludeert de AP dat A.S. Watson per 1 oktober 2020 slechts cookies plaatst nadat de betrokkene daarvoor toestemming heeft gegeven.

80. Dit betekent, zoals in randnummer 53 reeds overwogen, dat de overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, AVG heeft plaatsgevonden tot 1 oktober 2020.

6. Bestuurlijke boete 81. De AP is op grond van artikel 58, tweede lid, aanhef en onder i, in verbinding met artikel 83 AVG en gelezen in samenhang met artikel 14, derde lid, UAVG, bevoegd om een bestuurlijke boete op te leggen.

82. Uit de jurisprudentie van het HvJ EU blijkt dat uit de bewoordingen van artikel 83, tweede lid, AVG volgt dat inbreuken op de bepalingen van de AVG die door de verwerkingsverantwoordelijke op verwijtbare wijze zijn begaan – dat wil zeggen opzettelijk of uit nalatigheid begane inbreuken – ertoe kunnen leiden dat aan de verwerkingsverantwoordelijke op grond van dat artikel een administratieve geldboete kan worden opgelegd.34 In dit geval is sprake van een verwijtbare gedraging van A.S. Watson waarvoor de AP een boete zal opleggen.

83. Hiervoor is in randnummers 70 en 77 geconcludeerd dat A.S. Watson ten onrechte zonder toestemming van de betrokkene persoonsgegevens heeft verwerkt en daardoor artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, AVG heeft overtreden. Deze overtreding heeft zich voorgedaan in de periode vanaf 28 april 2020 tot 1 oktober 2020. Dit betekent dat er sprake is van één gedraging waarvoor een bestuurlijke boete zal worden opgelegd.

33 Onderzoeksrapport p. 20 en bijlage 11 bij het onderzoeksrapport. 34 HvJ EU 5 december 2023, C-683/21, ECLI:EU:C:2023:949 (NVSC) punt 73 en 83; HvJ EU 5 december 2023, C-807/21, ECLI:EU:C:2023:950 (Deutsche Wohnen) punt 68 en 76.

16/29

6.1 Systematiek bepalen boetehoogte

84. Bij de uitoefening van de bevoegdheid om een bestuurlijke boete op te leggen, slaat de AP acht op zowel de Beleidsregels van de AP met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Stcrt. 2019, 14 586) (hierna: Boetebeleidsregels) als de Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG (hierna: Richtsnoeren).35 In de toelichting bij de Boetebeleidsregels 2019 is vermeld dat de EDPB36 nog geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld. Daarom bestond aanleiding om omwille van de rechtsgelijkheid en rechtszekerheid beleid vast te stellen met betrekking tot de bevoegdheid tot het opleggen van een boete. Omdat binnen de EDPB het streven bestond om te komen tot gezamenlijke uitgangspunten over de boeteberekening, was dit beleid tijdelijk van aard. Op 24 mei 2023 heeft de EDPB de Richtsnoeren vastgesteld. In dit beleid zijn de gezamenlijke uitgangspunten neergelegd voor de situatie dat bedrijven de AVG overtreden. In het nu voorliggende geval leidt de toepassing van de Boetebeleidsregels 2019 tot eenzelfde boetebedrag als toepassing van de Richtsnoeren.

85. Het boetebedrag zal als volgt worden vastgesteld:

1. Bepalen van het uitgangsbedrag van de boete aan de hand van de Boetebeleidsregels; 2. Overweging van de omstandigheden op basis van de Boetebeleidsregels; 3. Overweging van de omstandigheden op basis van de Richtsnoeren; 4. Vaststellen boetehoogte en beoordeling doeltreffendheid, evenredigheid, en afschrikking.

86. Deze onderdelen worden hierna achtereenvolgens doorlopen.

6.2 Bepalen uitgangsbedrag aan de hand van Boetebeleidsregels

87. In dit geval wordt het vertrekpunt gevormd door de toepasselijke bandbreedte van de Boetebeleidsregels. De AP houdt bij het bepalen van de hoogte van de boete, onverminderd de artikelen 3:4 en 5:46 Awb, rekening met de factoren genoemd in artikel 7 van de Boetebeleidsregels. Deze factoren worden ook in artikel 83, tweede lid, AVG en in de Richtsnoeren benoemd.

88. Voor een overtreding van artikel 6, eerste lid, AVG, in samenhang met artikel 5, eerste lid, aanhef en onder a, AVG kan de AP een bestuurlijke boete opleggen tot een bedrag van € 20.000.000. In het geval van een onderneming kan een boete opgelegd worden tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

35 De Richtsnoeren zijn te raadplegen op . 36 European Data Protection Board, ofwel het in artikel 68 e.v. van de AVG bedoelde Europees Comité voor gegevensbescherming.

17/29

89. Onder de Boetebeleidsregels wordt een overtreding ingedeeld in een categorie aan de hand van de overtreden bepaling, strekkend van categorie I tot en met IV. Daarbij geldt: hoe belangrijker de bepaling is voor de bescherming van persoonsgegevens, hoe hoger de categorie van overtreding. De Boetebeleidsregels bepalen dat overtredingen van artikel 5 en 6 AVG in categorie III vallen.37 De bandbreedte van deze categorie loopt van €300.000,- tot en met €750.000,-. Deze bandbreedte zal als uitgangspunt worden genomen voor de verdere berekening van de uiteindelijke boete, na overweging van de relevante factoren.

6.3 Beoordeling van de omstandigheden op basis van de Boetebeleidsregels

90. Bij het vaststellen van de hoogte van de boete worden de relevante omstandigheden in dit geval beoordeeld aan de hand van de factoren die in artikel 7 Boetebeleidsregels zijn benoemd. Er moet in ieder geval rekening worden gehouden met de aard, ernst en duur van de inbreuk. Andere omstandigheden waarmee in ieder geval rekening wordt gehouden, zijn de betrokken categorieën van persoonsgegevens en of er sprake is van een inbreuk die qua aard opzettelijk of nalatig is.

i. Aard, ernst en duur van de inbreuk

Aard van de inbreuk

91. Met betrekking tot de aard van de inbreuk overweegt de AP dat de inbreuk betrekking heeft op het beginsel van rechtmatigheid. Dit is een van de zes basisbeginselen van de AVG en daarmee een fundamenteel vereiste voor de bescherming van persoonsgegevens. Het beginsel van rechtmatigheid waarborgt de zeggenschap van de betrokkene over zijn persoonsgegevens. Door stilzwijgend toestemming te veronderstellen en gebruik te maken van vooraf ingevulde vakjes, is A.S. Watson voorbijgegaan aan het beginsel van rechtmatigheid en heeft zij de zeggenschap van de betrokkene over zijn persoonsgegevens geschaad. Bovendien heeft de (Europese) wetgever benadrukt dat deze wijze van toestemming verkrijgen niet in lijn is met de AVG.38

Ernst van de inbreuk

92. De AP houdt bij het bepalen van de ernst van de inbreuk rekening met de omvang van de verwerking, het aantal getroffen betrokkenen en de door hen geleden schade. Verder neemt de AP hierbij in acht hoe lang de inbreuk heeft geduurd, alsmede de soort persoonsgegevens waarop de inbreuk ziet.

37 Zie Boetebeleidsregels 2019, bijlage 2. 38 Overweging 32 bij de AVG.

18/29

93. Ten aanzien van de omvang van de verwerking constateert de AP dat er geen sprake was van een buitengewoon grote verwerking, maar dat evenmin sprake was van een kleinschalige verwerking. Het toepassingsgebied van de verwerking betrof namelijk heel Nederland. Verder verzamelde A.S. Watson persoonsgegevens via de door haar geëxploiteerde website kruidvat.nl door middel van het plaatsen van (tracking)cookies. Ten aanzien van het doel van de verwerking weegt de AP mee dat de verwerking van persoonsgegevens door middel van het plaatsen van dergelijke (tracking)cookies niet onder een van de hoofdactiviteiten van A.S. Watson valt.

94. Voor wat betreft het aantal getroffen betrokkenen merkt de AP op dat A.S. Watson heeft gesteld dat zij in de periode tussen 29 november 2019 en 25 juni 2020 circa [VERTROUWELIJK] bezoekers heeft gehad op kruidvat.nl.39 Niet valt vast te stellen hoeveel van deze websitebezoekers unieke bezoekers zijn. Verder heeft A.S. Watson gemotiveerd onderbouwd dat in genoemde periode, gelet op van overheidswege opgelegde beperkingen in verband met de COVID19-pandemie, sprake was van een stijging in het aantal bezoekers op kruidvat.nl. Drogisterijen waren destijds aangewezen als essentiële winkels terwijl andere winkels de deuren moesten sluiten. De AP leidt daaruit af dat het aantal getroffen betrokkenen onder normale omstandigheden lager zou zijn (geweest). Gelet hierop oordeelt de AP dat zelfs in het geval onder normale omstandigheden de bezoekersaantallen slechts de helft van [VERTROUWELIJK] zouden zijn alsnog sprake is van een substantieel aantal bezoekers. Daarvan is ook sprake indien, zoals A.S. Watson zelf aangeeft, slechts [VERTROUWELIJK] van die bezoekers een aankoop doet of slechts [VERTROUWELIJK] is ingelogd. In alle gevallen gaat het om [VERTROUWELIJK] ingelogde bezoekers en [VERTROUWELIJK] bezoekers die een aankoop hebben gedaan, die getroffen zijn door de handelwijze van A.S. Watson.

95. Ten aanzien van (de omvang van) de schade constateert de AP dat de betrokkene door A.S. Watson de zeggenschap is ontnomen over zijn persoonsgegevens, waarmee A.S. Watson een inbreuk heeft gemaakt op de rechten en vrijheden van betrokkenen. In dit geval is niet gebleken dat betrokkenen concrete en aantoonbare schade hebben geleden.40

Duur van de inbreuk

96. Zoals vermeld in paragraaf 5.6, heeft de AP geconstateerd dat de inbreuk heeft plaatsgevonden van 28 april 2020 tot 1 oktober 2020. De geconstateerde inbreuk duurde aldus vijf maanden.

97. De AP kwalificeert de aard van de inbreuk als ernstig, vanwege de overtreding van twee fundamentele aspecten van de AVG. Daar staat tegenover dat de inbreuk van korte duur was en dat de ernst van de inbreuk als laag moet worden gekwalificeerd.

39 Onderzoeksrapport p. 19 en bijlage 3 bij het onderzoeksrapport. 40 HvJ EU 5 maart 2024, C-755/21, ECLI:EU:C:2022:202 (Kočner/Europol) punt 135.

19/29

ii. Het opzettelijke of nalatige karakter van de inbreuk

98. Op grond van artikel 7, aanhef en onder b, Boetebeleidsregels houdt de AP rekening met de opzettelijke of nalatige aard van de inbreuk door A.S. Watson. De zwaarte van de inbreuk heeft immers een groter gewicht wanneer de verwerkingsverantwoordelijke bewust een overtreding heeft begaan. Wanneer de inbreuk het gevolg is van onachtzaam gedrag dan heeft de zwaarte van de inbreuk een kleiner gewicht.

99. In dit kader weegt de AP mee dat A.S. Watson met de vooraf aangevinkte cookies een werkwijze heeft gevolgd waarbij geen acht wordt geslagen op het vereiste dat sprake moet zijn van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling de hem betreffende verwerking van persoonsgegevens aanvaardt. Verder heeft A. S. Watson pas een aanvang gemaakt met het aanpassen van haar werkwijze, eerst nadat zij door de AP in de normoverdragende brief van 29 november 2019 erop is gewezen dat A. S. Watson met haar werkwijze een inbreuk maakt op de AVG. De AP merkt op dat die aanpassing bepaald voortvarender had gekund.

iii. De categorieën van persoonsgegevens waarop de inbreuk heeft

100. Op grond van artikel 7, aanhef en onder g, Boetebeleidsregels houdt de AP rekening met de categorieën persoonsgegevens betrokken bij de inbreuk. Indien persoonsgegevens zijn verwerkt die speciale bescherming verdienen, kwalificeert de AP de inbreuk als ernstiger. Het uitgangspunt hierbij zijn de categorieën benoemd in artikelen 9 en 10 van de AVG.

101. De AP stelt vast dat er geen sprake is van het verwerken van bijzondere persoonsgegevens in de zin van artikelen 9 en 10 van de AVG. Ten aanzien van de hoeveelheid gegevens stelt de AP vast dat A.S. Watson een beperkt aantal persoonsgegevens heeft verwerkt.

102. Aan de hand van de overwegingen onder i, ii, en iii beoordeelt de AP de zwaarte van de overtreding. De geduide kwalificaties bepalen mede de hoogte van de boete binnen de bandbreedte van categorie III van de Boetbeleidsregels41. Voorgaande omstandigheden in aanmerking nemende, is de AP van oordeel dat in dit geval de zwaarte van deze inbreuk op een laag niveau moet worden gekwalificeerd.

iv. Overige relevante omstandigheden van toepassing op de onderhavige zaak

41 Zie Boetebeleidsregels 2019, bijlage 2.

20/29

103. De AP heeft de overige omstandigheden als genoemd artikel 7, aanhef en onder k, Boetebeleidsregels in overweging genomen. De lange duur tussen het verstrekken van het onderzoeksrapport aan A.S. Watson en het vaststellen van dit handhavingsbesluit is voor de AP aanleiding om de boete uit oogpunt van evenredigheid te matigen.

104. Verder is niet gebleken van resterende omstandigheden die in artikel 7 Boetebeleidsregels worden genoemd en zich ten aanzien van de inbreuk door A.S. Watson, hebben voorgedaan.

6.4 Beoordeling van de omstandigheden op basis van de Richtsnoeren

105. De Richtsnoeren beschrijven een methodiek waarbij achtereenvolgens wordt bezien:

1. Welke en hoeveel handelingen en inbreuken ter beoordeling voorliggen; 2. Welk bedrag het uitgangspunt vormt bij de berekening van de boete hiervoor; 3. Of zich verzachtende of verzwarende omstandigheden voordoen die nopen tot aanpassing van het bedrag uit stap 2; 4. Welke maximumbedragen gelden voor de overtredingen en of eventuele verhogingen uit de vorige stap dit bedrag niet te boven gaan; 5. Of het uiteindelijke bedrag van de berekende boete voldoet aan de vereisten van effectiviteit, afschrikking en proportionaliteit, en zo nodig daaraan wordt aangepast.

106. Het aantal handelingen die inbreuken op de AVG tot gevolg hadden en het startbedrag voor boeteberekening zijn al gekwalificeerd onder paragraaf 6.2.

107. Evenals de Boetebeleidsregels, schrijven de Richtsnoeren voor dat de AP nagaat of er verzachtende of verzwarende omstandigheden zijn die kunnen leiden tot een aanpassing in de kwalificatie van de inbreuk. Dit dient te geschieden aan de hand van de omstandigheden die zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, AVG.

108. Allereerst dient aandacht te worden besteed aan de zwaarte van de inbreuk.42 Hierbij wordt rekening gehouden met de aard, ernst en duur van de inbreuk, evenals de opzettelijke of nalatige aard van de inbreuk en de categorieën van de verwerkte persoonsgegevens. Hiervoor, in paragraaf 6.3, zijn deze factoren al besproken. Dat heeft ertoe geleid dat de ernst van de inbreuk als laag wordt gekwalificeerd.

109. De Richtsnoeren schrijven voor dat uit oogpunt van billijkheid de grootte van de onderneming in acht moet worden genomen bij de berekening de boetehoogte. De grootte van de onderneming wordt bepaald

42 Richtsnoeren, p. 17.

21/29

aan de hand van de omzet. Volgens de jurisprudentie43 van HvJ EU moet de omzet van de gehele groep worden gebruikt voor het vaststellen van de bovengrens van de boete. A.S. Watson is een volledige dochteronderneming van A.S. Watson Europe Holding B.V. die op haar beurt weer een volledige dochteronderneming is van CK Hutchison Holdings Limited. Daarom zal de grootte van de onderneming worden bepaald aan de hand van de wereldwijde omzet van CK Hutchison Holdings Limited.44 De omzet van CK Hutchison Holdings Limited bedroeg in 2022 €53,5 miljard. De AVG schrijft een maximale boetehoogte van 4% van de totale wereldwijde jaaromzet voor.45 In dit geval geldt een wettelijk boetemaximum van €2,14 miljard.

110. Vervolgens schrijven de Richtsnoeren voor dat de overige omstandigheden uit artikel 83, tweede lid, AVG in acht worden genomen. Zoals reeds vermeld, is rekening worden gehouden met de omstandigheden die zijn vermeld in die bepaling (onderdelen a tot en met k).

De AP heeft als overige omstandigheden meegenomen het lange tijdsbestek tussen het publiceren van het onderzoeksrapport en het uitvaardigen van een handhavingsbesluit. Dit onderdeel is aangemerkt als verzachtend ten aanzien van de boetehoogte.

6.5 Vastellen boetehoogte en beoordeling doeltreffendheid, evenredigheid, en afschrikking

111. In dit geval zal de hoogte van de boete evenwel worden bepaald met toepassing van de basisboete uit de betreffende categorie van de Boetebeleidsregels. De hoogte van de boete zal in dit concrete geval op grond van zowel de Boetebeleidsregels als de Richtsnoeren tot dezelfde uitkomst leiden.

112. Het gaat in dit geval om een overtreding waarbij categorie III van de Boetebeleidsregels van toepassing is. De boetebandbreedte van categorie III loopt van €300.000,- tot €750.000,-.

113. Gelet op alle hiervoor genoemde omstandigheden komt de AP tot een boete van €600.000,-. wegens het plaatsen van cookies zonder dat sprake is van voorafgaande rechtsgeldige toestemming van de betrokkene (artikel 6, eerste lid, gelezen in samenhang met artikel 5, eerste lid, onder a, AVG). De AP vindt deze boete passend en geboden.

114. Tot slot moet worden beoordeeld of de boete doeltreffend, evenredig en afschrikkend is. Uit artikel 49, derde lid, van het Handvest van de grondrechten van de EU en de artikelen 3:4 en 5:46, tweede lid, Awb volgt dat de bestuurlijk boete gezien de omstandigheden van het geval niet leiden tot een onevenredige uitkomst.

43 Groupe Gascogne SA/Europese Commissie (Zaak C-58/12P, arrest van 26 november 2013), ECLI:EU:C:2013:770, § 52-57. 44 Een berekening aan de aan hand van de wereldwijde omzet van HK$457 miljard van CK Hutchison Holdings Limited, als moederbedrijf van A.S. Watson. Zie 2022 Annual Results, p.24. 45 Zie artikel 83, vijfde lid, AVG.

22/29

115. Een bestuurlijke boete is doeltreffend en effectief wanneer het doel wordt bereikt waarvoor zij is opgelegd. Het doel kan zijn het bestraffen van onrechtmatige gedragingen, alsmede het bevorderen van naleving van geldende voorschriften. Gezien de overwegingen aangaande de aard, ernst en duur van de inbreuk, alsmede de verzwarende en verzachtende omstandigheden van artikel 83, tweede lid, AVG is de AP van oordeel dat de onderhavige bestuurlijke boete beide doelen bereikt en derhalve effectief is.

116. De AP acht de boete evenredig, gelet op de ernst en omvang van de overtreding. Nu overtreding van een van de basisbeginselen van de AVG heeft plaatsgevonden, acht de AP een bestuurlijke boete geraden. Mede gelet op de eerder vermelde omzet van €53,5 miljard van de groep waartoe A.S. Watson behoort, concludeert de AP dat zich geen dermate bijzondere omstandigheden hebben voorgedaan dat de bestuurlijke boete aan A.S. Watson onevenredig zou zijn.

117. Tot slot dient de opgelegde boete afschrikkend te zijn. Dat houdt in dat A.S. Watson zich in de toekomst zal weerhouden van een inbreuk van de AVG. De AP is van oordeel dat de voorgeschreven boete een afschrikkende werking heeft.

7. Besluit 118. De AP legt aan A.S. Watson Health & Beauty Continental Europe B.V. wegens overtreding van artikel 6, eerste lid, gelezen in samenhang met artikel 5, eerste lid, onder a, AVG een bestuurlijke boete op ten bedrage van op € 600.000,-.46

Hoogachtend, Autoriteit Persoonsgegevens,

mr. A. Wolfsen Voorzitter Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot

46 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).

23/29

oplegging van de bestuurlijke boete op. De AP zal pas tot invordering overgaan, nadat het besluit onherroepelijk is geworden. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

Bijlage 1

24/29

Algemene verordening gegevensbescherming Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 1) „persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; 2) verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; […] 7) verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; […] 11) toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Artikel 5 1. Persoonsgegevens moeten:

25/29

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, behoorlijkheid en transparantie); […] Artikel 6 1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken. 2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. […]

Artikel 58 Bevoegdheden

26/29

[…] 2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: […] i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; […] Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten 1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn. 2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende: a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

27/29

i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. 3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk. 4. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43; b) de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43; c) de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4. 5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9; b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22; c) de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49; d) alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht; e) niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1. 6. Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, lid 2, is overeenkomstig lid 2 van dit artikel onderworpen aan administratieve geldboeten tot 20 000 000 EUR of,

28/29

voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. 7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen. 8. De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en eerlijke rechtsbedeling. 9. Wanneer het rechtsstelsel van de lidstaat niet voorziet in administratieve geldboeten, kan dit artikel aldus worden toegepast dat geldboeten worden geïnitieerd door de bevoegde toezichthoudende autoriteit en opgelegd door bevoegde nationale gerechten, waarbij wordt gewaarborgd dat deze rechtsmiddelen doeltreffend zijn en eenzelfde effect hebben als de door toezichthoudende autoriteiten opgelegde administratieve geldboeten. De boeten zijn in elk geval doeltreffend, evenredig en afschrikkend. Die lidstaten delen de Commissie uiterlijk op 25 mei 2018 de wetgevingsbepalingen mee die zij op grond van dit lid vaststellen, alsmede onverwijld alle latere wijzigingen daarvan en alle daarop van invloed zijnde wijzigingswetgeving. Uitvoeringswet Algemene verordening gegevensbescherming Artikel 14 Taken en bevoegdheden AP […] 3. De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen. Algemene wet bestuursrecht Artikel 3:2 Bij de voorbereiding van een besluit vergaart het bestuursorgaan de nodige kennis omtrent de relevante feiten en de af te wegen belangen.

Artikel 3:4

29/29

1. Het bestuursorgaan weegt de rechtstreeks bij het besluit betrokken belangen af, voor zover niet uit een wettelijk voorschrift of uit de aard van de uit te oefenen bevoegdheid een beperking voortvloeit. 2. De voor een of meer belanghebbenden nadelige gevolgen van een besluit mogen niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen. Artikel 4:8 1. Voordat een bestuursorgaan een beschikking geeft waartegen een belanghebbende die de beschikking niet heeft aangevraagd naar verwachting bedenkingen zal hebben, stelt het die belanghebbende in de gelegenheid zijn zienswijze naar voren te brengen indien: a) de beschikking zou steunen op gegevens over feiten en belangen die de belanghebbende betreffen, en b) die gegevens niet door de belanghebbende zelf ter zake zijn verstrekt. 2. Het eerste lid geldt niet indien de belanghebbende niet heeft voldaan aan een wettelijke verplichting gegevens te verstrekken. Artikel 5:46 1. De wet bepaalt de bestuurlijke boete die wegens een bepaalde overtreding ten hoogste kan worden opgelegd. 2. Tenzij de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, stemt het bestuursorgaan de bestuurlijke boete af op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Het bestuursorgaan houdt daarbij zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd. 3. Indien de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, legt het bestuursorgaan niettemin een lagere bestuurlijke boete op indien de overtreder aannemelijk maakt dat de vastgestelde bestuurlijke boete wegens bijzondere omstandigheden te hoog is. 4. Artikel 1, tweede lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.