EU-domstolen slår fast att en förkryssad ruta på en hemsida inte uppfyller kraven för giltigt samtycke vid lagring av cookies. Detta eftersom det inte går att avgöra om samtycket inneburit ett aktivt och informerat val.
Ett tyskt företag anordnade en tävling i reklamsyfte på en hemsida. De som ville delta i tävlingen klickade sig vidare till en hemsida där det fanns två texter i anslutning till kryssrutor. Den första av kryssrutorna innebar samtycke till att sponsorer och samarbetspartners skulle informera om erbjudanden, och den var inte förkryssad. Den andra kryssrutan innebar samtycke till att en webbanalystjänst samt cookies skulle användas, och den var förkryssad. Det var bara möjligt att delta i tävlingen om åtminstone den första kryssrutan var ikryssad.
Eftersom federala högsta domstolen i Tyskland var tveksam till huruvida de inhämtade samtyckena var giltiga enligt bland annat GDPR, begärde domstolen ett förhandsavgörande från EU-domstolen.
EU-domstolen inleder med att konstatera att lagring av information bara är tillåten om användaren har samtyckt till detta efter att ha fått tillgång till tydlig och fullständig information bland annat ifråga om ändamålen för uppgiftsbehandlingen. Därefter påpekar domstolen att en bokstavstolkning av uttrycket ”lämna sitt samtycke” ger att användaren måste vidta en aktiv handling för att manifestera sitt samtycke. Samtycke kan då ges i varje ”lämplig form” som möjliggör frivilliga och informerade samtycken.
Domstolen konstaterar att ett samtycke som lämnas genom en förkryssad ruta inte innebär något aktivt beteende från användaren. Vidare är det enligt domstolen omöjligt att avgöra om användaren faktiskt har lämnat ett välinformerat samtycke när hen valt att inte avmarkera kryssrutan, då det inte går att veta om användaren läst informationen eller ens noterat rutan. Dessutom står det uttryckligen i skälen för GDPR att förkryssade rutor inte bör kunna utgöra samtycke.
Mot denna bakgrund ansåg domstolen att ett giltigt samtycke inte kan anses lämnat genom en förkryssad ruta som måste avmarkeras av användaren för att vägra samtycke. Detta gäller oavsett om informationen i användarens terminalutrustning räknas som personuppgifter eller inte.
_________________________________
Författare: Hannah Renström, Allt om Juridik
Källa: Blendow Lexnova
Beslut: EU-domstolen C-673/17
Foto: Peter Hoelstad / SCANPIX