Den belgiska dataskyddsmyndigheten, Gegevensbeschermingsautoriteit (GBA), har utfärdat en reprimand till ett icke namngivet företag för brister i bolagets register över behandlingar enligt artikel 30 i dataskyddsförordningen (GDPR).
Av beslutet framgår att GBA fått in ett klagomål gällde användningen av ett verktyg för att välja reklampreferenser som enligt uppgift inte verkade fungera eftersom alternativet att välja bort cookies för tredje parter inte var möjligt. Den klagande menade också att företagets webbplats genom användning av en cookies wall krävde att användaren skulle acceptera cookies för att därefter kunna välja reklampreferenser.
Efter en genomgång av ärendet konstaterade GBA att klagandes påstående om att dennes samtycke tvingats fram i strid med artiklarna 4.11 och 7 GDPR inte var korrekt. Avseende den klagandens påstående om att företagets webbplats använder en cookie wall fastställde GBA att användaren informerats väl om att användningen av cookies var nödvändig för att webbplatsen skulle fungera, och att webbplatsen gett användaren möjlighet att välja mellan att acceptera sådana cookies eller att inte använda webbplatsen.
GBA betonade dock att ett sådant resonemang endast kan föras om användningen av cookies är absolut nödvändig, då nödvändiga cookies inte kräver användarens samtycke utan är beroende av den personuppgiftsansvariges berättigade intressen. GBA ansåg därför att klagomålet inte kunde bifallas och att en överträdelse av artikel 6.1 (a) GDPR inte ägt rum.
GBA höll dock med om att de tredjeländer till vilka personuppgifter överförs bör anges och lätt kunna identifieras i den personuppgiftsansvariges register över behandlingar enligt artikel 30 GDPR, särskilt mot bakgrund av den rättspraxis som kommit från EU-domstolen. Följaktligen beordrade GBA företaget att uppfylla kraven i GDPR avseende ett register över behandlingar, och då särskilt anpassa registret genom att tydligt ange de tredjeländer till vilka personuppgifter överförs.