Uitspraak
vonnis
RECHTBANK AMSTERDAM
Afdeling privaatrecht, voorzieningenrechter civiel
zaaknummer / rolnummer: C/13/739403 / KG ZA 23-829 EAM/MAH
Vonnis in kort geding van 18 oktober 2023
in de zaak van
[eiser],
wonende te [woonplaats] ,
eiser bij dagvaarding van 21 september 2023,
advocaat mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de besloten vennootschap met beperkte aansprakelijkheid
CRITEO B.V.,
gevestigd te Amsterdam,
2. de rechtspersoon naar Frans recht
CRITEO S.A.,
gevestigd te Parijs,
gedaagden,
advocaten mr. C. Jeloschek en mr. S.A.M. Meijer te Amsterdam.
Eiser zal hierna [eiser] worden genoemd en gedaagden gezamenlijk ook Criteo. Gedaagden worden afzonderlijk aangeduid als: de BV en de SA.
1.De procedure
1.1.
Op de zitting van 4 oktober 2023 heeft [eiser] de dagvaarding toegelicht. Criteo heeft verweer gevoerd. Beide partijen hebben producties en een pleitnota in het geding gebracht.
1.2.
Bij de zitting waren aanwezig:
- [eiser] met mr. Hemmer,
- aan de kant van Criteo: [naam] (product manager, verantwoordelijk voor compliance), bijgestaan door een tolk Engels, met mr. Jeloschek en mr. Meijer.
1.3.
Vonnis is bepaald op vandaag.
2. De feiten
2.1.
[eiser] is een Nederlandse natuurlijke persoon. Gedaagden zijn rechtspersonen die deel uitmaken van het Criteo-concern, een wereldwijd technologiebedrijf in de media- en entertainmentbranche, met hoofdkantoor in Parijs. De SA is genoteerd aan de Amerikaanse beurs Nasdaq. Criteo houdt zich onder andere bezig met consultancy, software en services met betrekking tot digitale marketing, media advertising, real time advertentie-veilingen en is een
belangrijke internationale speler in de ‘Adtech-industrie’.
2.2.
Criteo plaatst, via websites van derden, zogeheten tracking cookies (waaronder in ieder geval de zogenaamde "uid" cookie) op computers en/of andere mobiele apparaten. Tracking cookies bevatten een uniek ID, een willekeurige lijst van karakters, die wordt toegewezen aan de browser van een bepaalde websitebezoeker. Bij iedere website die een link heeft met Criteo en die met die browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Doel is om surfgedrag, interesses en/of andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden.
2.3.
Criteo gebruikt de tracking cookies voor ‘targeted advertising’, het afstemmen van advertenties op individuele gebruikers. Dat gebeurt door het opstellen van gebruikersprofielen en het herkennen van gebruikers als zij het internet bezoeken. Binnen een fractie van een seconde wordt dankzij het Real Time Bidding (RTB)-Systeem een internetgebruiker herkend en een op de betreffende gebruiker afgestemde advertentie getoond. Tracking cookies spelen daarbij een essentiële rol.
2.4.
Op 15 juni 2023 heeft de Commission Nationale de Informatique et des Libertés (CNIL), de Franse privacy-toezichthouder, een boete van € 40.000.000,- opgelegd aan Criteo SA voor overtreding van verschillende bepalingen van de AVG. Volgens het persbericht van de CNIL was dit “in particular for failing to verify that the persons from whom it processed data had given their consent”. In dat bericht staat ook dat de CNIL haar beslissing heeft voorgelegd aan de andere 29 Europese toezichthouders, aangezien zij allen betrokken waren bij deze “cross-border case”, en dat zij hun goedkeuring hebben gegeven.
2.5.
Bij brieven van 8 augustus 2023 heeft de advocaat van [eiser] aan de SA (in het Engels) en de BV (in het Nederlands) geschreven dat Criteo
- tracking cookies (in ieder geval het
uidcookie) via websites van derden plaatst op
devicesvan [eiser] zonder diens toestemming, en
uidcookie) via websites van derden plaatst op
devicesvan [eiser] zonder diens toestemming, en
- de daarmee verkregen persoonsgegevens van [eiser] verwerkt, eveneens zonder zijn toestemming,
- en daarmee handelt in strijd met artikel 11.7a lid 1 Telecommunicatiewet (Tw) en artikelen 5 lid 1 onder a, 6 lid 1, 7, 13 en 14 Algemene verordening gegevensbescherming (AVG).
Ter onderbouwing beroept [eiser] zich op een onderzoek door een onafhankelijke technische expert, waaruit zou blijken dat [eiser] zonder zijn toestemming door leden van de Criteo-groep is gevolgd op vier met name genoemde websites.
Criteo wordt in de brief tenslotte gesommeerd om binnen zeven dagen te bevestigen dat zij
1) de onrechtmatige gedragingen direct staakt,
2) binnen een maand zal melden (i) dat de SA en/of de BV verwerkingsverantwoordelijken zijn, (ii) ten aanzien van welke specifieke verwerkingsactiviteiten en (iii) welke andere verwerkingsverantwoordelijken er (eventueel) zijn binnen de Criteo-groep,
3) binnen een maand conform artikel 15 AVG inzage geeft in de onrechtmatig verwerkte persoonsgegevens van [eiser] ,
4) binnen een maand conform artikel 15 lid 1 en 2 AVG informatie verstrekt, waaronder een overzicht van groepsentiteiten en (andere) derden die onrechtmatig verwerkte persoonsgegevens van [eiser] hebben ontvangen en informatie over onder meer het cookie ID betreffende [eiser] ,
5) binnen een maand en nadat bovenbedoelde informatie is verstrekt, de onrechtmatig verwerkte persoonsgegevens van [eiser] verwijdert,
6) binnen een maand alle groepsentiteiten en (andere) derden, opgenomen in het onder 4) bedoelde overzicht, informeert over dit verwijderingsverzoek zodat ook zij kunnen overgaan tot verwijdering.
2.6.
Bij e-mail van 30 augustus 2023 heeft de advocaat van Criteo, samengevat, als volgt geantwoord.
De vier genoemde websites worden beheerd door klanten van Criteo en het is hun verantwoordelijkheid om toestemming te verkrijgen. Criteo verplicht hen hier contractueel toe. Criteo kan bij haar vele klanten niet individueel controleren of zij deze verplichting nakomen, maar Criteo treedt meteen op als zij bekend wordt met een inbreuk en dat heeft zij nu ook gedaan met betrekking tot de vier genoemde websites. [eiser] kan ongewenste cookies verwijderen door zijn browser instellingen aan te passen en/of een “opt-out” in te stellen voor Criteo-cookies, een en ander volgens de meegezonden instructies.
Op de claims 2) tot en met 6) zal Criteo “in due course” reageren conform artikel 12 lid 3 AVG.
Criteo gaat ervan uit dat het aangekondigde kort geding hiermee van de baan is.
2.7.
Per e-mail van 5 september 2023 heeft de advocaat van [eiser] :
- de verweren van Criteo verworpen,
- een rapport in het vooruitzicht gesteld waaruit blijkt dat nog veel meer websites Criteo-cookies plaatsen zonder voorafgaande toestemming, en
- screenshots bijgevoegd waaruit zou blijken dat Criteo nog altijd zonder toestemming cookies plaatst of uitleest, in ieder geval op twee van de in de brief van 8 augustus 2023 genoemde websites.
2.8.
De advocaat van Criteo heeft op 7 september 2023 aan de advocaat van [eiser] gemaild:
“(…) Your assumption that Criteo denies responsibility is false. In fact, only the website operators are technically in a position to correct the implementation of the technology on their digital properties. Thus, the obligation to obtain consent resides with the website operators and Criteo is indeed legally and contractually entitled to rely on them for the collection of consent. Now that the operators of the two websites mentioned in your email have not taken sufficient measures in response to Criteo's notices demanding them to comply with their obligation to obtain consent from website users, please be informed that Criteo has now proceeded to immediately take actions to terminate its commercial relationship with these two website operators in the affected regions. Accordingly, Criteo will obviously ensure that the website operators will remove any Criteo technology from their digital properties as soon as possible. To be clear, the CNIL itself confirmed in its decision that it considers that Criteo now complies with the requirements of the GDPR in this regard.
Criteo reiterates its commitment to act in accordance with the law and invites your client to make use of the Criteo opt-out mechanism or the browser configuration mechanisms indicated in our letter of August 30.
Furthermore, we respectfully request your client to communicate to Criteo the names of the other websites that allegedly do not collect consent properly.
In view of the above, there is no need to file summary proceedings. (…)”
2.9.
Bij e-mail van 8 september 2023 heeft Criteo de termijn voor het reageren op de informatie- en inzageverzoeken van 8 augustus 2023 verlengd onder verwijzing naar artikel 12 lid 3 AVG.
2.10.
Op 21 september 2023 is de dagvaarding in dit kort geding uitgebracht, waarbij als productie 19 en 29 een (Engelse en Nederlandse versie van een) deskundigenrapport (hierna: het Rapport) van Floor Terra van de Privacy Company te Den Haag, gedateerd 1 september 2023, was gevoegd. In het Rapport wordt het bezoek (opgeslagen op een zogenaamd HAR-bestand) van [eiser] op 29 augustus 2023 aan 40 websites geanalyseerd (par. 3), waarvan vijf meer in detail (viata.nl, brandfield.nl, otto.nl, jaap.nl en kookwinkel.nl).
In par. 3 staat onder meer:
“Tijdens het laden van 39 van deze sites, interacteerde Criteo met cookies op het apparaat van de gebruiker [= [eiser] - vzr] van zijn domeinen criteo.com and bidswitch.net zonder toestemming van de gebruiker. Elk van deze websites heeft een cookiebanner die de gebruiker schijnbaar de keuze biedt om alle cookies te accepteren of de instellingen te wijzigen om alle cookies of verschillende categorieën cookies te weigeren.”
Bij de vijf genoemde websites wordt telkens geconstateerd dat deze zonder op een toestemmingssignaal van [eiser] te wachten diverse netwerkverzoeken naar Criteo stuurde, waarbij in de request header naar criteo.com werd verzonden:
- als cookie-informatie: uid = [de cijfer/letterreeks eindigend op eac359 gekoppeld aan [eiser] ]
- als ‘referer’: de URL van de website (bijvoorbeeld www.otto.nl).
De unieke uid van [eiser] is dus samen met de bezochte website naar Criteo verzonden.
Bij vier van deze vijf websites wordt daarnaast geconstateerd dat:
- er een netwerkverzoek werd verzonden naar bidswitch.net, dat ook eigendom is van Criteo en unieke permanente cookies voor elke gebruiker plaatst, en
- cookie syncing netwerkverzoeken waarin Criteo wordt genoemd werden verzonden naar andere Adtech-bedrijven (waaronder adnxc.com (Xander, eigendom van Microsoft)).
De conclusie is telkens dat Criteo de uid cookie op het apparaat van [eiser] talloze keren heeft uitgelezen voordat hij toestemming had gegeven, samen met een verwijzing naar de website zelf. “Criteo verzamelde dus informatie over [ [eiser] ] en legde vast dat [ [eiser] ] deze website bezocht zonder enige wettelijke basis.”
De samenvatting van de analyse van de vijf websites luidt:
“(…) Op al deze websites wordt de uid cookie van Criteo zonder toestemming uitgelezen door het criteo.com domein. (…) Uit de bovenstaande link [naar de cookieverklaring van Criteo - vzr] blijkt duidelijk dat het doel van de id is om profielgegevens te verzamelen en deze te gebruiken om gericht te adverteren. Criteo volgt ook gebruikers via haar domein bidswitch.net en synchroniseert regelmatig cookies met veel andere Adtech-bedrijven zonder toestemming. De andere 34 locaties die de heer [eiser] bezocht, sluiten nauw aan bij de activiteiten van de 5 hierboven geanalyseerde locaties.”
De onderzoekster heeft de vijf websites ook zelf getest en doet daarvan verslag in par. 4 van het Rapport, waarna zij concludeert dat de bevindingen niet alleen voor [eiser] gelden maar voor verschillende gebruikers.
De conclusie (par. 5) van het Rapport luidt:
“Zoals blijkt uit de analyse van het HAR-bestand, heeft Criteo tijdens deze korte browsersessie vele malen zonder toestemming cookies geplaatst en gelezen op de browser van de Gebruiker. De uidcookie is een blijvende unieke identificatiecode voor de Gebruiker, en Criteo heeft een record gemaakt van de bezoeken van de Gebruiker aan deze websites zonder medeweten of toestemming van de Gebruiker.
Zoals uit bovenstaande analyse van de websites blijkt, is dit gedrag consistent op deze en mogelijk vele andere sites. Criteo voert dus hetzelfde gedrag uit wanneer een gebruiker deze en vele andere sites bezoekt, wat resulteert in grootschalige profilering van Nederlandse burgers zonder hun medeweten of toestemming.”
Bij het Rapport is een lijst gevoegd met de 39 websites.
2.11.
Namens de SA “and its affiliates and subsidiaries (“Criteo”)” heeft haar advocaat op 2 oktober 2023 aan de advocaat van [eiser] de volgende reactie op de sommaties 2) tot en met 6) uit de brief van 8 augustus 2023 gemaild:
2) (i) Confirmed that Criteo SA is a data controller.
(ii) All processing activities conducted by Criteo for the purpose of providing its services.
(iii) Criteo SA acts as the data controller for the entire Criteo group.
3) The data export in the attached excel sheet (Appendix 1) contains the personal data in Criteo's systems relating to the communicated cookie ID. In addition, the attached data description table (Appendix 2) explains the contents of the data export. To be clear, if a table in Appendix 1 is empty this means that Criteo does not process any such personal data relating to the communicated cookie ID.
4) (i) Criteo has passed on the data of the communicated cookie ID to its legal advisors at Kennedy Van der Laan (…) and will do so if necessary to courts, if they are relevant to legal proceedings.
In accordance with article 15 (1) of the GDPR [General Data Protection Regulation = AVG – vzr.], the categories of recipients of personal data are:
- Supply-side platforms
- Data platforms
- Partners allowing us to match several identifiers
- Partners allowing us to fight against fraud
- Partners allowing us to locate you inaccurately
- Partners of Criteo's clients
- Our subsidiaries and affiliates
- Any recipient necessary to comply with legal, regulatory, judicia! or administrative obligations
(ii) The personal data in Criteo's systems related to the communicated cookie ID is included in Appendix 1.
5) Criteo has deleted the communicated cookie ID from its system, so that Criteo can no longer assign any data to the communicated cookie ID and will also no longer collect any data on the communicated cookie ID in the future. Appendix 1 itself will, however, continue to be stored outside the Criteo system until the legal claim related to it has ended.
6) Criteo is notifying the recipients mentioned in the report dated September 1, 2023 that was provided as part of [eiser] 's legal claim against Criteo (as exhibit 19), in order to enable them to erase personal data related to the communicated cookie ID.
Conclusion
Criteo considers to have fulfilled the above requests to exercise data subject rights in accordance with the GDPR.”
2.12.
“Verzamelt gegevens met betrekking tot de bezoeken van de gebruiker aan de website, zoals het aantal bezoeken, de gemiddelde tijd die op de website is doorgebracht en welke pagina's zijn geladen, met het doel om gerichte advertenties weer te geven” en dat de vervaltermijn 1 jaar is.
3.Het geschil
3.1.
[eiser] vordert, samengevat:
I. Criteo te gebieden het onrechtmatig handelen per ommegaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, tracking cookies op de computer en/of apparaten van [eiser] te (doen) plaatsen alvorens hij daarvoor rechtsgeldige toestemming heeft gegeven,
II. Criteo te gebieden om binnen zeven dagen na vonnisdatum inzage te verlenen in de verwerkte persoonsgegevens van [eiser] ,
III. Criteo te gebieden om binnen zeven dagen na vonnisdatum informatie, waaronder specifiek informatie over derden-ontvangers teneinde deze te kunnen identificeren en waar nodig te contacteren, te verstrekken over de verwerkingen die hebben plaatsgevonden met persoonsgegevens van [eiser] ,
IV. Criteo te gebieden om binnen zeven dagen na vonnisdatum de op onrechtmatige wijze verwerkte persoonsgegevens te verwijderen,
V. Criteo te gebieden om
- binnen zeven dagen na vonnisdatum alle groepsentiteiten en (andere) derden, opgenomen in het op grond van randnummer 3 [bedoeld zal zijn: III. – vzr.] te verstrekken overzicht, op de hoogte te stellen van het verwijderverzoek, opdat deze partijen, voor zover nodig op expliciet verzoek van Criteo, ook over gaan tot de verwijdering van de persoonsgegevens en eventuele andere daarmee samenhangende informatie die zijn verkregen of anderszins zijn verwerkt door middel van voornoemd onrechtmatig handelen
- en om eventuele voornoemde verzoeken van Criteo aan die groepsentiteiten en (andere) derden te verstrekken,
alles op straffe van dwangsommen en met hoofdelijke veroordeling van gedaagden in de proceskosten, met wettelijke rente.
3.2.
Criteo voert verweer.
3.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
Rechtsmacht en toepasselijk recht
4.1.
Nu een van de gedaagden in Frankrijk is gevestigd dienen allereerst ambtshalve de rechtsmacht en het toepasselijke recht te worden beoordeeld.
4.2.
De Nederlandse voorzieningenrechter is bevoegd om te oordelen over de vorderingen, zowel op grond van artikel 79 lid 2 AVG (gewone verblijfplaats betrokkene), artikel 7 lid 2 Verordening (EU) Nr. 1215/2012 van het Europees Parlement en de Raad betreffende de rechterlijke bevoegdheid, de erkenning en tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (Brussel I bis) (plaats schadebrengend feit) als artikel 8 lid 1 Brussel I bis (nauwe band tussen vorderingen tegen beide gedaagden).
4.3.
Op de vorderingen is Nederlands recht van toepassing op grond van artikel 10:159 BW jo. artikel 4 lid 1 Verordening (EU) Nr. 864/2007 van het Europees Parlement en de Raad betreffende het recht dat van toepassing is op niet contractuele verbintenissen (Rome II).
4.4.
Een en ander is door Criteo overigens niet betwist.
Spoedeisend belang
4.5.
[eiser] stelt dat Criteo jegens hem onrechtmatig handelt door, in strijd met de Tw, de AVG en privacygrondrechten (zoals onder meer neergelegd in de artikelen 7 en 8 Handvest), regelmatig reeds voordat hem om toestemming is gevraagd via een groot aantal websites eigen tracking cookies te plaatsen of uit te lezen en dat Criteo dat zelfs doet nadat [eiser] expliciet toestemming heeft geweigerd. [eiser] stelt dat hij niet de uitkomst van een bodemprocedure kan afwachten omdat Criteo niet adequaat reageert op zijn sommaties en het onrechtmatig handelen voortduurt. Zo heeft hij op 2 oktober 2023 geconstateerd dat op veel van de 39 websites (zie 4.24) door Criteo nog steeds cookies worden geplaatst. Ook heeft Criteo volgens [eiser] niet correct voldaan aan zijn inzageverzoek.
4.6.
Anders dan Criteo meent heeft [eiser] al met al voldoende spoedeisend belang bij de vorderingen.
Wat zijn tracking cookies?
4.7.
Het draait in deze zaak om (third party) tracking cookies. De Autoriteit persoonsgegevens (AP) definieert [2] cookies als volgt:
“Cookies zijn kleine bestanden die de eigenaar van een website op het apparaat van een bezoeker plaatst. Bijvoorbeeld op een computer, laptop, smartphone of tablet. Zo kan de eigenaar informatie verzamelen of opslaan over het websitebezoek of over (het apparaat van) de bezoeker.
Onderkant formulier
Er zijn 3 soorten cookies:
- functionele cookies;
- analytische cookies;
- tracking cookies.”
“Als cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies. Met deze cookies kunnen organisaties het internetgedrag van mensen door de tijd heen volgen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (
profiling) en hen anders te behandelen. Met tracking cookies worden meestal persoonsgegevens verwerkt.
profiling) en hen anders te behandelen. Met tracking cookies worden meestal persoonsgegevens verwerkt.
Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. (…) Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoen.”
Toepasselijke regelgeving
4.8.
Artikel 11.7a Telecommunicatiewet luidt, voor zover relevant:
1. Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend.
4.9.
De AVG luidt, voor zover relevant:
Artikel 1 (Onderwerp en doelstellingen)
2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
Artikel 5 (Beginselen inzake verwerking van persoonsgegevens)
1. Persoonsgegevens moeten:
a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);
[...]
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).
Artikel 6 (Rechtmatigheid van de verwerking)
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
(…)
Artikel 7 (Voorwaarden voor toestemming)
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Artikel 12 (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene)
1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, [...] De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. [...]
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. (…)
[...]
5. [...] Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke [...]:
[...]
b) weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
[...]”
Artikel 15 (Recht van inzage van de betrokkene)
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a. a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
[...]
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. [...]
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
Artikel 17 (Recht op gegevenswissing („recht op vergetelheid”))
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
(…)
d) de persoonsgegevens zijn onrechtmatig verwerkt;
2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
(…)
Artikel 26 (Gezamenlijke verwerkingsverantwoordelijken)
1. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Artikel 79 (Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker)1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.
(…)
Artikel 82 (Recht op schadevergoeding en aansprakelijkheid)
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
(…)
Vordering I. verbod tracking cookies plaatsen op device van [eiser] zonder toestemming
4.10.
Het plaatsen van tracking cookies is op grond van artikel 11.7a Telecommunicatiewet slechts toegestaan indien voorafgaande toestemming is verkregen en indien voldoende informatie is verstrekt. Daarnaast verwerkt Criteo door middel van de tracking cookies persoonsgegevens van [eiser] , zodat ook moet worden voldaan aan de vereisten van de AVG (waaronder - eveneens - voorafgaande toestemming op grond van artikel 6 lid 1 sub a AVG). Ten aanzien van - in elk geval – een uid cookie moet toestemming van de gebruiker, zoals [eiser] , zijn verkregen alvorens een tracking cookie mag worden geplaatst, mag worden uitgelezen of anderszins mag worden gebruikt.
4.11.
Dit alles erkent Criteo ook. Compliance met de privacywetgeving (waaronder de AVG en artikel 11.7a Tw) staat, zo stelt zij onder meer op haar website en in haar brieven aan [eiser] , hoog op haar agenda.
4.12.
Uit de brief van [eiser] van 8 augustus 2023 en het door hem overgelegde deskundigenrapport van 1 september 2023 blijkt echter dat stelselmatig (39 van de 40 bezochte websites) tracking cookies van/via Criteo zijn geplaatst op devices van [eiser] zonder zijn voorafgaande toestemming.
4.13.
Dat betwist Criteo op zichzelf niet, maar zij voert, in de kern, de volgende verweren:
1) niet Criteo maar haar partners zijn verantwoordelijk voor het verkrijgen van toestemming,
2) Criteo treedt op zodra een partner zich niet aan haar contractuele verplichting houdt, meer kan zij niet doen,
3) er is geen spoedeisend belang want Criteo heeft [eiser] twee methodes geboden waarmee hij zelf ongewenste cookies kan tegenhouden
4) met het gevorderde algemene verbod op het plaatsten van cookies probeert [eiser]
de factoom de business van Criteo op losse schroeven te zetten. Het onduidelijke belang van [eiser] (inmiddels is zijn cookie ID uit de interne systemen van Criteo verwijderd, zijn twee websites opgezegd en zijn de 39 websites gewaarschuwd) weegt niet op tegen het belang van Criteo.
de factoom de business van Criteo op losse schroeven te zetten. Het onduidelijke belang van [eiser] (inmiddels is zijn cookie ID uit de interne systemen van Criteo verwijderd, zijn twee websites opgezegd en zijn de 39 websites gewaarschuwd) weegt niet op tegen het belang van Criteo.
Criteo is zelf verantwoordelijk voor de toestemming
4.14.
Volgens Criteo verleent zij diensten aan haar partners, de zogenaamde ‘publishers’, die advertentieruimte wensen te verkopen aan adverteerders. Deze publishers staan in direct contact met eindgebruikers (bijvoorbeeld websitebezoekers), Criteo niet. Criteo verstrekt aan de partner een Java Script, software die door de partner in diens website kan worden geïntegreerd waardoor tracking cookies van Criteo kunnen worden geplaatst op
devicesvan eindgebruikers (zoals [eiser] ). Met behulp van deze cookies wordt informatie verzameld die helpt bij het personaliseren van advertenties, zodat aan de eindgebruiker advertenties worden getoond die aansluiten bij hun interesses.
devicesvan eindgebruikers (zoals [eiser] ). Met behulp van deze cookies wordt informatie verzameld die helpt bij het personaliseren van advertenties, zodat aan de eindgebruiker advertenties worden getoond die aansluiten bij hun interesses.
4.15.
Partijen zijn het er over eens dat Criteo en haar partners gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 AVG zijn (‘joint controllers’).
4.16.
De voorzieningenrechter is van oordeel dat Criteo zich voor het verkrijgen van toestemming niet kan verschuilen achter haar partners. Criteo heeft het verkrijgen van toestemming contractueel uitbesteed aan haar partners en dat mag. Dat betekent dat áls de partner informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, Criteo dat niet óók hoeft te doen (vgl. Rechtbank Amsterdam 15 maart 2023, ECLI:NL:RBAMS:2023:1407, r.o. 14.15).
Criteo blijft echter (ook) zelf verantwoordelijk om te bewerkstelligen dat op een rechtsgeldige en rechtmatige wijze toestemming wordt verkregen voor het plaatsen en uitlezen van de uid cookie en kan daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat.
Dat overweegt ook het CNIL in haar beslissing van 15 juni 2023 (zie …) onder 61:
“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”
4.17.
Uit het Rapport is duidelijk dat veel partners van Criteo hun verplichtingen niet zijn nagekomen doordat er al voordat [eiser] iets heeft kunnen kiezen cookies geplaatst zijn. Ook na het weigeren van toestemming bleef Criteo cookiegegevens en browse-informatie van sommige sites ontvangen (par. 4 Rapport). Criteo moet als verwerkingsverantwoordelijke in de zin van de AVG voor de verwerking van de persoonsgegevens die zij via de cookies verkrijgt een rechtsgeldige verwerkingsgrondslag hebben. In dit geval kan dat alleen de a-grond van art 6 AVG zijn: “de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden”. Criteo dient aan te tonen dat zij die toestemming heeft (artikel 5 lid 2 AVG) en dat kan zij blijkens het bovenstaande in een groot aantal gevallen niet. Daarmee heeft Criteo niet voldaan aan haar wettelijke verplichtingen en heeft zij onrechtmatig gehandeld jegens [eiser] . Bovendien blijkt uit het Rapport dat de onrechtmatige handelingen niet beperkt zijn tot [eiser] en waarschijnlijk ook niet tot de 39 websites.
4.18.
Aan de door Criteo in het geding gebrachte uitspraken van Duitse rechters (civiele rechters in eerste en tweede aanleg, naar de voorzieningenrechter begrijpt) komt in dit kort geding overigens geen betekenis toe. Criteo heeft slechts in algemene zin naar de uitspraken verwezen, geen vertaling verstrekt en ook niet aannemelijk gemaakt dat het om voldoende vergelijkbare gevallen en rechtsregels gaat.
Piepsysteem is niet voldoende
4.19.
Criteo beroept zich er verder op dat de negatieve CNIL-uitspraak plus boete van € 40.000.000,- de oude situatie betreft en dat zij inmiddels wel voldoet aan de AVG doordat zij nieuwe partners van tevoren screent (KYC), de AVG-verplichtingen aan de partners contractueel oplegt, audits uitvoert bij haar partners en optreedt als deze niet correct vooraf toestemming vragen. Criteo verzuimt echter te vermelden dat zij pas optreedt als zij een signaal (van bijvoorbeeld [eiser] ) krijgt. Nog afgezien van het feit dat Criteo niet met stukken heeft aangetoond dat zij adequaat is opgetreden tegen de 39 websites - zij heeft slechts met betrekking tot de 4 websites genoemd in de brief van 8 augustus 2023 vier waarschuwingen en twee opzeggingen overgelegd - baat dit verweer haar niet omdat reactief optreden niet voldoende is. Zij dient te waarborgen dat vooraf toestemming wordt verkregen.
4.20.
Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt. [eiser] heeft ter onderbouwing van haar standpunt een nadere analyse van Floor Terra van de Privacy Company van 28 september 2023 in het geding gebracht, waarin wordt geconcludeerd:
“Op basis van mijn eigen ervaring kan ik een lijst van ongeveer 10.000 url's op een enkele desktop computer in een enkele nacht controleren. Dat is zonder uitgebreide IT-infrastructuur om meerdere computers tegelijkertijd te laten controleren en zonder volledig geautomatiseerde processen om de controle doorlopend uit te laten voeren zonder menselijke tussenkomst. Met zeer bescheiden inspanningen kan Criteo dus doorlopend controleren op onrechtmatig verzamelde gegevens in haar databases om daar vervolgens actie op te kunnen ondernemen in de vorm van het wissen van gegevens waarover niet kan worden aangetoond dat rechtmatig toestemming is verkregen en de betreffende websites aan te spreken op de overtreding.”
4.21.
Dit betoog van [eiser] klinkt plausibel en is door Criteo niet gemotiveerd weerlegd. Hoe dit ook zij, het ‘piepsysteem’ van Criteo kan om de onder 4.19 vermelde redenen hoe dan ook niet de geconstateerde onrechtmatigheid van het handelen jegens [eiser] wegnemen.
Disable cookies en/of opt-out
4.22.
Criteo voert nog aan dat zij [eiser] twee mogelijkheden heeft geboden waarmee hij zelf kan voorkomen dat hij met tracking cookies gevolgd wordt, maar dat hij er zelf voor kiest deze opties (ongewenste cookies verwijderen door zijn browser instellingen aan te passen en/of een “opt-out” instellen voor Criteo-cookies) niet te gebruiken.
4.23.
De voorzieningenrechter is het met [eiser] eens dat dit de wereld op zijn kop is. Niet [eiser] moet actie ondernemen, maar Criteo moet zorgen dat vooraf toestemming van [eiser] wordt verkregen voor de plaatsing van de cookies en het verwerken van zijn persoonsgegevens. Dit verweer wordt dus ook verworpen.
Belangenafweging
4.24.
Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een - naar voorlopig oordeel - flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure. Criteo heeft op 2 oktober 2023 weliswaar bericht dat zij de cookie ID van [eiser] uit haar systemen heeft verwijderd, maar [eiser] handhaaft het gevorderde verbod (vordering I) omdat hij er geen vertrouwen in heeft dat het onrechtmatig handelen hiermee stopt. Hij wijst er in dat verband op dat op de meeste van de 39 websites op 2 oktober 2023 (10 dagen na toezending aan Criteo van het Rapport) nog steeds cookies werden geplaatst. Dit betoog vindt steun in de door hem overgelegde screenshots van 2 oktober 2023.
Het belang van Criteo bij voortzetting van haar business model weegt niet op tegen dit belang van [eiser] .
4.25.
Criteo heeft nog aangevoerd dat [eiser] in zijn vorderingen tegen de BV niet-ontvankelijk moet worden verklaard omdat weliswaar de SA verwerkingsverantwoordelijke is in de zin van de AVG, maar de BV niet. Dat verweer gaat niet op, omdat de BV als medeverantwoordelijke moet worden beschouwd nu zij de met de Criteo-partners contracterende partij is voor diensten in de Benelux.
4.26.
Dit alles leidt ertoe dat vordering I zal worden toegewezen.
II-V. Inzage en verwijdering persoonsgegevens
4.27.
Het gaat hier om verzoeken op grond van de artikelen 15 en 17 UAVG.
Anders dan Criteo meent kan, ondanks het bestaan van de verzoekschriftregeling van artikel 35 lid 2 Uitvoeringswet AVG, een verzoek aan de verwerkingsverantwoordelijke krachtens de artikelen 15 tot en met 22 AVG ook in kort geding worden gevorderd en gelden er dan geen bijzondere eisen aan het spoedeisend belang (HR 15 september 2023, ECLl:NL:HR:2023:1216).
Alleen al vanwege de samenhang met de toegewezen vordering I, heeft [eiser] voldoende spoedeisend belang bij vorderingen II-V.
4.28.
Criteo stelt zich op het standpunt dat zij met de brief van 2 oktober 2023 volledig aan de AVG-verzoeken van [eiser] heeft voldaan. [eiser] is het daar niet mee eens. Het standpunt van [eiser] wordt gevolgd, om de volgende redenen.
Vordering II
4.29.
Uit het als productie 32 door [eiser] overgelegde document van 3 oktober 2023 blijkt dat het door Criteo geboden overzicht niet compleet is. Niet iedere website die de betreffende
uidmet Criteo heeft uitgewisseld is in dat overzicht genoemd. Bovendien blijkt uit dat document dat er met tal van derden gegevens zijn uitgewisseld. Aldus is er grond voor toewijzing van vordering II.
uidmet Criteo heeft uitgewisseld is in dat overzicht genoemd. Bovendien blijkt uit dat document dat er met tal van derden gegevens zijn uitgewisseld. Aldus is er grond voor toewijzing van vordering II.
Vordering III
4.30.
Daarnaast is er in het inzageverzoek van 8 augustus 2023 verzocht om een overzicht van groepsmaatschappijen en (andere) derde partijen die de persoonsgegevens hebben ontvangen. Criteo heeft slechts een lijstje met categorieën mogelijke ontvangers verstrekt (die ook al in haar privacy policy staan). Op grond van een arrest van het Europese Hof van Justitie [4] is een verwerkingsverantwoordelijke desgevraagd verplicht om wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt aan de betrokkene de identiteit van deze ontvangers mede te delen (tenzij de uitzonderingsgrond van artikel 12 lid 5 AVG zich voordoet, maar dat is hier gesteld noch gebleken). Criteo heeft dus niet op correcte wijze aan het inzageverzoek voldaan en het is niet te verwachten dat zij dat vrijwillig gaat doen. [eiser] heeft daarom belang bij een gebod tot het alsnog bieden van volledige inzage in ieder geval bestaande uit een volledig overzicht van de derde partijen met wie de gegevens gedeeld zijn. [eiser] wenst een volledig overzicht omdat die derde partijen niet alleen de gegevens uit het inzageverzoek zullen hebben ontvangen maar tevens gegevens die [eiser] eerder (in de afgelopen jaren) nietsvermoedend heeft gedeeld. De ontvangers hebben mitsdien ook in strijd met de AVG gehandeld. [eiser] wenst duidelijkheid over de omvang daarvan en wenst de mogelijkheid te krijgen om actie tegen deze partijen te ondernemen.
Vordering IV
4.31.
Criteo heeft op 2 oktober 2023 bericht dat zij “deleted the communicated cookie ID from its system”. Niet duidelijk is of dat daadwerkelijk het geval is en of dit voldoende is (zie hierboven, onder 4.29.), zodat [eiser] ook belang heeft bij toewijzing van vordering IV.
Vordering V
4.32.
Criteo heeft op 2 oktober 2023 bericht dat zij bezig is de 39 websites uit het Rapport aan te schrijven, zodat zij de persoonsgegevens gerelateerd aan [eiser] ’s cookie ID kunnen wissen. [eiser] vordert echter méér, namelijk dat (om de bij vordering III genoemde redenen)
allederde partijen met wie in de afgelopen jaren gegevens gedeeld zijn worden ingelicht over het verwijderingsverzoek. Mede gelet op wat bij vordering III is overwogen, heeft [eiser] recht op en belang bij toewijzing van vordering V.
allederde partijen met wie in de afgelopen jaren gegevens gedeeld zijn worden ingelicht over het verwijderingsverzoek. Mede gelet op wat bij vordering III is overwogen, heeft [eiser] recht op en belang bij toewijzing van vordering V.
Slot
4.33.
De slotsom is dat de vorderingen zullen worden toegewezen.
4.34.
De gevorderde dwangsommen zullen worden toegewezen zoals vermeld in de beslissing.
4.35.
Gedaagden zullen als de in het ongelijk gestelde partij hoofdelijk in de proceskosten worden veroordeeld. De kosten aan de zijde van [eiser] worden begroot op:
- dagvaarding € 132,42
- griffierecht € 314,00
- salaris advocaat €
1.619,00
1.619,00
Totaal € 2.065,42
De gevorderde nakosten en wettelijke rente worden eveneens toegewezen.
5. De beslissing
De voorzieningenrechter
5.1.
gebiedt Criteo het onrechtmatig handelen per ommegaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, tracking cookies op de computer en/of apparaten van [eiser] te (doen) plaatsen alvorens [eiser] rechtsgeldige toestemming heeft gegeven voor het plaatsen van deze tracking cookies, op straffe van een dwangsom van € 250,00 per dag of dagdeel danwel - naar keuze van [eiser] - per overtreding, tot een maximum van € 25.000,00,
5.2.
gebiedt Criteo om binnen zeven dagen na betekening van dit vonnis inzage te verlenen in de verwerkte persoonsgegevens van [eiser] , op straffe van een dwangsom van € 250,00 per dag of dagdeel, tot een maximum van € 15.000,00,
5.3.
gebiedt Criteo om binnen zeven dagen na betekening van dit vonnis informatie, waaronder specifiek informatie over derden-ontvangers teneinde deze te kunnen identificeren en waar nodig te contacteren, te verstrekken over de verwerkingen die hebben plaatsgevonden met persoonsgegevens van [eiser] , op straffe van een dwangsom € 250,00 per dag of dagdeel, tot een maximum van € 15.000,00,
5.4.
gebiedt Criteo om binnen zeven dagen na betekening van dit vonnis de op onrechtmatige wijze verwerkte persoonsgegevens van [eiser] te verwijderen, op straffe van een dwangsom van € 250,00 per dag of dagdeel, tot een maximum van € 15.000,00,
5.5.
gebiedt Criteo om binnen zeven dagen na betekening van dit vonnis
- alle groepsentiteiten en (andere) derde partijen zoals opgenomen in het overeenkomstig 5.3 te verstrekken overzicht, op de hoogte te stellen van het verwijderverzoek, opdat die partijen, voor zover nodig op expliciet verzoek van Criteo, ook overgaan tot de verwijdering van de persoonsgegevens en eventuele andere daarmee samenhangende informatie die zijn verkregen of anderszins zijn verwerkt door middel van voornoemd onrechtmatig handelen en om
- eventuele voornoemde verzoeken van Criteo aan die partijen te verstrekken,
één en ander op straffe van een dwangsom van € 250,00 per dag of dagdeel, tot een maximum van € 15.000,00,
5.6.
veroordeelt gedaagden hoofdelijk in de proceskosten, aan de zijde van [eiser] tot op heden begroot op € 2.065,42, te vermeerderen met de wettelijke rente over dit bedrag met ingang van de veertiende dag na betekening van dit vonnis tot aan de voldoening,
5.7.
veroordeelt gedaagden hoofdelijk in de na dit vonnis ontstane kosten, begroot op € 173,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 90,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak, en te vermeerderen met de wettelijke rente over de nakosten met ingang van veertien dagen na de betekening van dit vonnis tot aan de voldoening,
5.8.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad,
5.9.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. E.A. Messer, voorzieningenrechter, bijgestaan door mr. M.A.H. Verburgh, griffier, en in het openbaar uitgesproken op 18 oktober 2023. [5]