Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har bötfällt medieföretaget SA Rossel & Cie med 50 000 euro för överträdelser artiklarna 4.11, 6.1 (a), 7.1, 7.3, 12.1, 13 och 14 i dataskyddsförordningen (GDPR).
Av beslutet framgår att GBA genomfört en granskning av Rossel & Cies användning av cookies på belgiska mediewebbplatser. Rossel & Cie är ägare av webbplatserna Le Soir, Sudinfo och Sudpresse éditions digitales. GBA:s granskning visade på ett flertal överträdelser, som bland annat att icke strikt nödvändiga cookies, inklusive cookies för statistik och sociala nätverk, placerats utan de registrerades samtycke, att rutorna för samtycke till cookies från tredje part redan var förkryssade, att cookiepolicyn var ofullständig och svårtillgänglig för besökaren, samt att nya cookies placerats på de registrerades enheter trots att de återkallat sitt samtycke.
GBA konstaterade att Rossel & Cie brutit mot artikel 6.1 (a) GDPR genom att placera cookies som inte var strikt nödvändiga utan att inhämta de registrerades föregående samtycke. GBA noterade särskilt att statistiska cookies också kräver ett samtycke enligt nuvarande regler.
När det gäller kvalificeringen av “ytterligare surfning” som ett giltigt samtycke, konstaterade GBA att detta i särskilda situationer kan betraktas som en aktiv handling enligt Planet 49-målet. Att bara scrolla är dock inte en sådan handling enligt GBA. En datoråtgärd (till exempel ett musklick) kan dock ändra detta. Vidare konstaterade GBA att det inte heller fanns något krav på att samtycket skulle vara specifikt. GBA ansåg därför att Rossel & Cie brutit mot artikel 6.1 (a) GDPR, tillsammans med artiklarna 4.11 och 7.1 GDPR.
När det gäller förkryssade rutor för cookies från tredje part hävdade GBA att detta inte kan utgöra ett giltigt samtycke enligt definitionen i artikel 4.11. GBA konstaterade därmed ytterligare en överträdelse av artikel 6.1 (a) GDPR. GBA ansåg även att Rossel & Cie brutit mot artiklarna 4.11, 12.1, 13 och 14 GDPR eftersom företagets cookiepolicy var ofullständig (endast 13 av de 500 partnerna nämndes). Dessutom var cookiepolicyn inte tillräckligt lättillgänglig och/eller på den registrerades språk. Slutligen konstaterade GBA att Rossel & Cie brutit mot artikel 7.3 GDPR genom att placera ytterligare cookies efter att de registrerade återkallat sitt samtycke.
Mot denna bakgrund bötfälldes Rossel & Cie med 50 000 euro. GBA beordrade också Rossel & Cie att inom tre månader anpassa den relaterade behandlingen av personuppgifter till dataskyddsförordningen. Rossel & Cie har 30 dagar på sig att överklaga GBA:s beslut.