Samtycke till cookies i ljuset av EU-domstolens senaste ståndpunkt

Service

Även om två år kommer att förflyta i maj 2020 från genomförandet av bestämmelserna i GDPR, väcker den korrekta tolkningen av förordningen fortfarande stora tvivel. Personuppgiftsansvariga har belastats med allvarliga skyldigheter när det gäller nödvändigheten av att förse de behandlade personuppgifterna med en lämplig säkerhetsnivå. Brott mot bestämmelserna i GDPR kan resultera i höga ekonomiska påföljder, därför är korrekt tillämpning av dem avgörande ur varje entreprenörs synvinkel. Kontrollera hur samtycket till cookies ser ut mot bakgrund av EU-domstolens senaste ståndpunkt

Samtycke till cookies måste informeras

Den 1 oktober 2019 meddelade EU-domstolen en dom i målet C-673/17, vilket är av stor betydelse ur praktisk synpunkt. Enligt den senaste ståndpunkten från EU-domstolen måste samtycke till cookies uttryckas av varje användare av webbplatsen (och varje webbplats). Utdrag ur EU-domstolens dom den 1 oktober 2019.
„[…] användarens samtycke, för syftet med detta direktiv, kan beviljas på vilket sätt som helst som möjliggör ett fritt, specifikt och informerat uttryck för användarens vilja, särskilt genom att »kryssa i rutan när du surfar på webbplatsen«". Samtidigt noterade nämnden att formen och sättet att uttrycka samtycke inte spelade någon roll och det kan till exempel vara att "välja urvalsfönstret", förutsatt att samtycket är:

  • tillfällig,
  • betong och
  • medveten.

Fakta om cookie-tvisten

För att korrekt bedöma bakgrunden till tvisten som resulterade i ovanstående dom är det nödvändigt att gå tillbaka till 2013. Då anordnade det tyska företaget Planet49 ett lotteri via sin hemsida. Tävlingsformuläret krävde tillhandahållande av specifika uppgifter (namn och adress) och samtycke till sändning av information från arrangörens sponsorer och partners via brev, telefon eller e-post / SMS om erbjudanden inom området för deras aktivitet.Blanketten innehöll en urvalsruta som webbplatsbesökaren var tvungen att kontrollera för att delta i lotteriet. Att uttrycka sitt samtycke till att ta emot reklammaterial var ett villkor för deltagande i tävlingen.

Tävlingsformuläret innehöll även information om det andra samtycket – en samtyckesförklaring att ”använda webbanalystjänsten för användaren av webbplatsen. Som ett resultat installerar arrangören av kampanjlotteriet cookies efter att deltagaren har registrerat sig för lotteriet. Detta gör det möjligt för arrangören att bedöma användarbeteendet när det gäller besök och användning av reklampartners webbplatser och att matcha annonserna efter användarens preferenser." Uttalandet angav också att användaren när som helst kunde ta bort cookies och skulle länka till en annan webbplats som innehöll ytterligare information om webbanalysproceduren. Det påpekades bland annat att cookies är "filer som leverantören av en webbplats installerar på användarens dator av den webbplatsen och som han kan komma åt igen när användaren besöker webbplatsen igen, för att underlätta surfande på internet eller transaktioner eller för att få information på webbplatsen. användarbeteende ". Samtycke till cookies valdes som standard.

Lotteriarrangören uppmanades av konsumentorganisationernas förbund att sluta använda de ovan nämnda uttalandena som strider mot tysk konsumentskyddslagstiftning. Fallet slutade i en domstol som gav lotteriarrangören rätt och påpekade att de publicerade uttalandena är tydliga och läsbara och att varje användare av webbplatsen är medveten om att samtycke till cookies kan tas bort som standard. På grund av de tvivel som härrörde från den korrekta tolkningen av de tillämpliga bestämmelserna ställde appellationsdomstolen en juridisk fråga till domstolen i två viktiga frågor:

  1. Är samtycke som ges som standard (dvs genom en automatiskt markerad kryssruta från vilken användaren måste avmarkera om han inte samtycker till installationen av cookies) effektivt?

och

  1. Vilken information ska tjänsteleverantören tillhandahålla användaren som en del av den tydliga och omfattande information som krävs enligt e-integritetsdirektivet, inklusive täcker denna information även giltighetstiden för cookies och tredje parts tillgång till cookies?

Samtycket till cookies identifierar användaren av webbplatsen

När det gäller den första frågan, det vill säga effektiviteten av det samtycke som ges som standard, angav EU-domstolen att samtycket till cookies installerade på enheten för den person som använder webbplatsen innehåller ett nummer som tilldelats de uppgifter som tillhandahålls av webbplatsanvändaren. Genom att kombinera detta nummer med användarens data personifieras data som lagras av filerna. På grund av denna omständighet, datainsamling via den sk cookies är behandling av personuppgifter. Att installera cookies på en enhet som tillhör en webbplatsanvändare är behandling av personuppgifter på grund av konsekvenserna av att registrera användarens uppgifter. I det här fallet kräver de gällande bestämmelserna i EU:s medlemsstater att användaren får klar och uttömmande information om principerna och syftena med databehandlingen och ger rätten att vägra samtycke till sådan behandling av den personuppgiftsansvarige. Att ge samtycke till behandling av personuppgifter (inklusive installation av cookies) måste vara aktivt, inte passivt. Som standard anses en kryssruta som är markerad inte vara aktivt beteende. För att effektivt samtycka till användningen av cookies måste användaren av webbplatsen ge sitt samtycke själv och fritt genom att välja lämpligt alternativ på webbplatsen.

EU-domstolen noterade också att det i princip är omöjligt att kontrollera om personen som använder webbplatsen faktiskt har samtyckt till behandlingen av hans personuppgifter genom att lämna standardvalsrutan markerad - inklusive om användaren faktiskt har samtyckt i enlighet med gällande bestämmelser. EU-domstolen antar att majoriteten av personer som använder Internet inte läser informationen som bifogas uttalandena på webbplatserna. Starta en gratis 30-dagars provperiod utan begränsningar!

Domstolen angav tydligt att samtycket till cookies som uttrycks som standard inte är giltigt - den personuppgiftsansvarige kan inte använda formulär som innehåller en markerad kryssruta som användaren måste ta bort för att vägra samtycke. Samtycket är giltigt endast om det ges på ett aktivt sätt, genom den berörda personens agerande.

Skyldigheten att erhålla "aktivt" användarsamtycke för att installera cookies är inte den enda skyldigheten som åläggs den personuppgiftsansvarige.

Enligt den andra punkten i EU-domstolens dom måste webbplatsägaren också informera användaren om:

  • den personuppgiftsansvariges identitet;
  • syftena med att behandla personuppgifter som samlats in genom installation av cookies;
  • mottagare eller kategorier av mottagare av data;
  • tidpunkten för databehandling och
  • ytterligare omständigheter, om de är nödvändiga för att säkerställa rättvis databehandling

Den personuppgiftsansvarige som erhåller samtycke från webbplatsanvändaren för installation av cookies har en informationsskyldighet gentemot den användaren. EU-domstolen angav att den förlängda (eller till och med obegränsade) handläggningstiden för information som samlas in som ett resultat av installationen av cookies resulterar i insamlingen av en betydande mängd information "om en viss användares vanor", huvudsakligen i omfattningen av surfning specifika webbplatser (och därmed t.ex. potentiella shoppingpreferenser, information om hälsa eller sysselsättning). På grund av den potentiella risken för att få en så stor mängd information är det nödvändigt att fullständigt informera användaren om ändamålen och reglerna för behandlingen av hans data, inklusive de som erhålls som ett resultat av installationen av cookies.