Integritetsskyddsmyndigheten (IMY) konstaterar att Aller Media AB har brutit mot artikel 6.1 (f) dataskyddsförordningen (GDPR) genom att behandla klagandens personuppgifter utan laglig grund.
Av beslutet framgår att IMY har inlett tillsyn mot Aller i syfte att utreda ett klagomål. Klagomålet är ett av flera klagomål som lämnats in till de europeiska dataskyddsmyndigheterna gällande kakor och kakbanners. Klagomålen rör i huvudsak designen av kakbanners, placering av kakor och efterföljande behandling av personuppgifter efter att kakorna blivit placerade på den klagandes webbläsare eller enhet. För att underlätta samarbetet kring dessa klagomål skapades en arbetsgrupp (Cookie Banner Taskforce) inom den Europeiska dataskyddstyrelsen (European Data Protection Board, EDPB).
Mot bakgrund av att det gäller gränsöverskridande behandling har IMY använt sig av de mekanismer för samarbete och enhetlighet som finns i kapitel VII GDPR. Berörda tillsynsmyndigheter har varit dataskyddsmyndigheterna i Österrike, Danmark och Italien.
IMY anser att kravet på samtycke för att samla in uppgifter via kakor ger ett särskilt starkt integritetsskydd och ger registrerade möjligheten att själva välja och kontrollera hur deras personuppgifter används. Om de insamlade uppgifterna i ett senare skede vidarebehandlas med berättigat intresse som rättslig grund riskerar detta särskilda integritetsskydd att urholkas. Detta särskilda integritetsskydd för den registrerade är
därför något som bör tas i beaktande vid en intresseavvägning enligt artikel 6.1 (f) GDPR.
Under IMY:s utredning av ärendet har Aller inte tydligt fört fram vad deras berättigade intresse för den aktuella personuppgiftsbehandlingen var eller hur en intresseavvägning ska ha gjorts. IMY:s bedömning är att klaganden inte kan anses ha kunnat förvänta sig en sådan personuppgiftsbehandling endast genom ett besök av Allers webbplats. Vidare har klaganden endast kunnat invända mot behandling först efter att ha nekat samtycke i kakbannern. IMY:s bedömning är mot denna bakgrund att Aller inte har visat att bolaget kunnat stödja personuppgiftsbehandlingen på den rättsliga grunden berättigat intresse. Sammanfattningsvis har Aller brutit mot artikel 6.1 (f) GDPR genom att behandla klagandens personuppgifter utan laglig grund.
IMY ger Aller en reprimand med stöd av artikel 58.2 (b) GDPR för överträdelserna.