Belgija: Nezakonita pasica za piškotke
Nadzorni organ je upravljavcu odredil, da mora prilagoditi pasice za piškotke spletnih strani v skladu z GDPR, tako da v prvi nivo pasice za piškotke doda gumb za zavrnitev namestitve piškotkov in spremeni uporabljene barve.
Odločitev je bila objavljena 6.9.2024
Posameznik, na katerega se nanašajo osebni podatki, je obiskal štiri spletna mesta, ki jih upravlja MediaHuis (upravljavec), in sicer Gazet van Antwerpen, De Standaard, Het Nieuwsblad in Het Belang van Limburg. Na vsaki spletni strani je bila pasica za piškotke, ki na prvem nivoju ni imela gumba za zavrnitev, barve posameznih gumbov so bile zavajajoče, soglasje je bilo bistveno težje umakniti kot ga dati, prav tako pa se je upravljavec skliceval na zakoniti interes za nameščanje piškotkov. Posameznik je pri belgijskem nadzornem organu (ADP/GBA) vložil štiri pritožbe v zvezi z zgoraj omenjenimi pasicami piškotkov. Posameznik je za svojega zastopnika v skladu s členom 80(1) GDPR imenoval Noyb.
Po mnenju upravljavca zakonodaja, zlasti člen 7(3) GDPR ali člen 4(11) GDPR, upravljavcu ne predpisuje implementacije gumba za zavrnitev na prvem nivoju pasice za piškotke ali uporabe različnih barv za gumbe oz. ne določa načina implementacije preklica soglasja. Dejstvo, da pasice s piškotki niso bile v skladu s smernicami različnih nadzornih organov za varstvo podatkov in EDPB, kot je navajal posameznik, po mnenju upravljavca ni pomenilo kršitve GDPR. Poleg tega je posameznik dal soglasje za dejavnosti obdelave s strani upravljavca in zaradi tega ni imel razloga za pritožbo pri nadzornem organu.
Odločitev nadzornega organa
DPA je ugotovil, da je upravljavec kršil člene 5(1)(a) GDPR, 6(1)(a) GDPR in 7(3) GDPR.
Za svobodno in nedvoumno podano soglasje v skladu s členom 6(1)(a) GDPR in členom 5(3) Direktive o e-zasebnosti mora biti gumb za zavrnitev prikazan poleg gumba za sprejem. V nasprotnem primeru posameznik nima prave alternative soglasju za namestitev in obdelavo piškotkov.
Barve gumbov, ki jih uporablja upravljavec, so bile zavajajoče, saj so posameznika nagovarjali k soglasju za obdelavo piškotkov. Zaradi tega je upravljavec kršil člen 5(1)(a) GDPR.
Ker pasica za piškotke v prvi plasti ni imela gumba za zavrnitev in so bile uporabljene barve zavajajoče, je DPA upravljavcu odredil, naj pasico za piškotke v 45 dneh uskladi z GDPR. Poleg odredbe je nadzorni organ izrekel tudi kazen v višini 25.000 € na dan za vsako zadevno spletno stran, ki bo pravnomočna, če upravljavec ne izvede odrejenih sprememb. Najvišji znesek skupne kazni je bil določen na 10.000.000 evrov.
Upravljavec je kršil tudi člen 7(3) GDPR. Za preklic dane privolitve je moral posameznik izvesti več dejanj – »klikniti več« – medtem ko je za podajo privolitve zadostoval le en klik. Kljub temu je upravljavec posodobil svoja spletna mesta z dodajanjem gumba za zavrnitev na prvi nivo pasice za piškotke in možnostjo preklica privolitve z uporabo povezave na dnu vsake spletne strani. Kršitev je bila odpravljena, zato je nadzorni organ upravljavcu izrekel opomin.
Zakoniti interes, na katerega se je skliceval upravljavec, je zajemal namestitev in obdelavo piškotkov, ki niso bili nujni, saj je šlo med drugim tudi za analitične piškotke. Zlasti za slednje je uporaba pravne podlage zakoniti interes (člen 6(1)(f) GDPR) neustrezen in je treba pridobiti soglasje. Poleg tega upravljavec z dodajanjem zakonitega interesa kot „rezervne“ pravne podlage za namestitev piškotkov zavaja posameznika. Upravljavec je kršil tudi člen 6(1)(a) GDPR. Pravna podlaga za namestitev in obdelavo analitičnih piškotkov in drugih piškotkov, ki niso nujni za delovanje spletne strani, je lahko le soglasje po členu 6(1)(a) GDPR.
V odgovoru na obrambo upravljavca je DPA poudarila, da:
dejstvo, da je posameznik dal soglasje, ne izključuje uvedbe postopka pred nadzornim organom;
smernice EDPB sicer niso pravno zavezujoče, kot poudarja upravljavec, imajo pa pomembno vlogo pri razlagi GDPR;
nadzorni organ je tudi zavrgel trditve o domnevnem pritisku na posameznika s strani Noyb-a, da sproži postopek. Upravljavec je trdil, da je zaradi dejstva, da je posameznik pripravnik pri Noyb, dobil navodilo, da vloži pritožbo pri nadzornem organu. To naj bi dokazovalo, da v obravnavanem primeru ni bilo pravnega interesa posameznika, vendar je nadzorni organ te navedbe označil za neutemeljene, saj so dejstva primera jasna, zaslišanje posameznika pa je prav tako pokazalo, da je v primer aktivno vpleten.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
