Datenschutzbehörde (DSB) anser att Der Standards utformning av tidningens cookies-banner innebär en överträdelse av dataskyddsförordningen GDPR.
Av beslutet framgår att den registrerade den 13 augusti 2021 besökt webbplatsen för Der Standard, en österrikisk tidning. För att få tillgång till innehållet erbjöd webbplatsens cookie-banner den registrerade antingen möjligheten att samtycka till riktad reklam eller att köpa en prenumeration på tidningens online-version. Den registrerade valde det första alternativet. Som en följd av detta delades den registrerades uppgifter med minst 125 tredje parter. Enligt den registrerade var samtycket ogiltigt eftersom cookie-bannern inte uppfyllde de krav som fastställs i dataskyddsförordningen. Den registrerade hävdade bland annat att denne inte var i stånd att fritt ge sitt samtycke till behandling i reklamsyfte, eftersom det enda möjliga alternativet hade varit att prenumerera på tidningen. Den registrerade bad därför DSB att förklara att behandlingen är olaglig och beordra den personuppgiftsansvarige att radera uppgifterna enligt artikel 17 GDPR och upphöra med behandlingen. Den registrerade föreslog också att böter skulle utdömas.
Den personuppgiftsansvarige svarade att journalistik inte är kostnadsfritt. Den personuppgiftsansvarige hävdade också att det inte fanns några bevis för att den registrerade faktiskt besökt webbplatsen. Den personuppgiftsansvarige betonade därutöver att priset för ett alternativ till den registrerades samtycke (abonnemanget) var rimligt. Dessutom var praxis att dela med sig av uppgifter för riktad reklam inte ett val av den personuppgiftsansvarige, eftersom nästan 100 procent av annonseringen på nätet i dag i viss utsträckning är personaliserad.
Den registrerade invände att det faktum att en affärsmodell är dominerande inte gör den laglig. I synnerhet är samtycke inte giltigt om det enda möjliga alternativet är ett bindande avtal med den personuppgiftsansvarige. Uppgifter visade att användarna av webbplatsen valde ”samtycke” i mer än 99 procent av fallen, vilket är ett tydligt tecken på att samtycket inte gavs fritt. Den personuppgiftsansvarige förnekade att dessa uppgifter var tillämpliga i det aktuella fallet.
DSB betonade inledningsvis att inget journalistiskt undantag enligt nationell lagstiftning gällde för den personuppgiftsansvarige, eftersom cookies inte har till syfte att sprida information, tankar och idéer till allmänheten.
Därefter hävdade DSB att ett giltigt samtycke, i enlighet med artikel 4.11 GDPR, måste vara fritt, specifikt, informerat och otvetydigt. DSB klargjorde vidare att ”samtyckets granularitet” spelar en viktig roll när det gäller att avgöra om samtycket är giltigt i liknande fall. I synnerhet ska samtycket vara specifikt för varje behandling (dvs. syftet med behandlingen). Om det finns flera behandlingar ska samtycke ges för var och en av dem. Detta skedde inte i det aktuella fallet. I själva verket begärdes ett enda samtycke för flera olika ändamål: från riktad reklam till analys och plugins för sociala medier. DSB erkände att rätten att bedriva näringsverksamhet enligt artikel 16 i EU-stadgan var relevant. En lämplig balans mellan denna grundläggande rättighet och dataskydd var dock utesluten eftersom den personuppgiftsansvarige inte ens hade övervägt konsekvenserna av granularitetsprincipen.
Enligt DSB är inte heller det faktum att en registrerad kan välja ett annat medieföretag relevant. DSB konstaterade dessutom att denna praxis med ”generellt samtycke”, om den tillåts, allvarligt skulle försämra dataskyddsrättigheterna för registrerade som inte har råd med en prenumeration.
Enligt artikel 5.3 i direktivet om integritet och elektronisk kommunikation krävs det ett giltigt samtycke för att cookies ska få installeras på en användares enhet. Mot bakgrund av denna bestämmelse och dataskyddsförordningen förklarade DSB att behandlingen var olaglig.
När det gäller rätten till radering enligt artikel 17 GDPR gav DSB den personuppgiftsansvarige en månad på sig att klargöra om den fortfarande behandlade den registrerades personuppgifter. DSB ansåg dock att det inte finns någon subjektiv rätt till ett förbud mot behandling enligt artikel 58.2 (f) GDPR. En dataskyddsmyndighet har full frihet i valet av korrigerande åtgärd. Likaså har den registrerade ingen rätt att utdöma böter mot den personuppgiftsansvarige.
https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.174.027&mtc=today