Integritetsskyddsmyndigheten (IMY) konstaterar att Aktiebolaget Trav och Galopp (ATG) har behandlat klagandens personuppgifter i strid med artikel 6 och 7.3 dataskyddsförordningen (GDPR) genom att inte ha gjort det lika lätt att återkalla samtycke som att lämna det och försvårat för klaganden att lämna ett informerat och frivilligt samtycke genom att använda vilseledande design av sin kakbanner.
Av beslutet framgår att IMY har inlett tillsyn mot ATG i syfte att utreda ett klagomål. Klagomålet är ett av flera klagomål som lämnats in till de europeiska dataskyddsmyndigheterna gällande kakor och kakbanners. Klagomålen rör i huvudsak designen av kakbanners, placering av kakor och efterföljande behandling av personuppgifter efter att kakorna blivit placerade på den klagandes webbläsare eller enhet. För att underlätta samarbetet kring dessa klagomål skapades en arbetsgrupp (Cookie Banner Taskforce) inom den europeiska dataskyddstyrelsen (European Data Protection Board, EDPB).
Mot bakgrund av att det gäller gränsöverskridande behandling har IMY använt sig av de mekanismer för samarbete och enhetlighet som finns i kapitel VII GDPR. Berörd tillsynsmyndighet har varit dataskyddsmyndigheten i Österrike.
IMY konstaterar att ATG har inte gjort det lika enkelt att återkalla samtycke som att lämna det. Därtill har ATG använt vilseledande design i sitt val av färg och kontrast i kakbannern som påverkat klagandens möjlighet att lämna ett frivilligt och informerat samtycke. Det har därmed inte funnits ett giltigt samtycke och därför inte någon laglig grund att behandla klagandens personuppgifter. ATG har således behandlat klagandens personuppgifter strid med artikel 6 och 7.3 GDPR.
IMY ger ATG en reprimand med stöd av artikel 58.2 (b) GDPR för överträdelserna.