Gegevensbeschermingsautoriteiten steunen noyb's oproep tot eerlijke ja/nee cookiebanners
Een taskforce binnen de European Data Protection Board (EDPB) heeft een conceptrapport uitgebracht als reactie op de ruim 700 klachten van noyb over cookiebanners. De Europese gegevensbeschermingsautoriteiten steunen grotendeels de klachten van noyb. Als de gegevensbeschermingsautoriteiten dit verslag in hun dagelijkse praktijk toepassen, wordt een "minimumdrempel" voor websitegebruikers gewaarborgd.
Worst Cookie Banners binnenkort verdwenen? De meeste gebruikers associëren de GDPR vooral met zenuwslopende "cookiebanners". De ergste gevallen zouden binnenkort verdwenen moeten zijn, want de volgende gangbare praktijken worden volgens het EDPB-ontwerpverslag duidelijk onwettig bevonden onder de EU-wetgeving:
- Geen afwijzingsoptie op de eerste laag (maar verborgen in een sublaag)
- Vooraf aangevinkte vakjes in plaats van actieve toestemming
- Kleine links in een andere tekst om toestemming te weigeren
- Links buiten de cookiebanner om om toestemming te weigeren
- Legitiem belang claimen voor het installeren van niet-essentiële cookies (en geen toestemming vragen)
- Geen permanente mogelijkheid bieden om toestemming in te trekken
Ala Krinickytė, advocaat gegevensbescherming bij noyb:"We zijn erg blij dat de autoriteiten hebben ingestemd met de minimumdrempel voor bescherming tegen misbruik van banners. Cookiebanners werden het schoolvoorbeeld van de ondermijning van de GDPR. De autoriteiten moeten dringend actie ondernemen om het vertrouwen van de burgers in de Europese privacywetgeving te waarborgen."
Het ontwerpbesluit is het resultaat van de samenwerking van de gegevensbeschermingsautoriteiten binnen de taskforce cookiebanners van de EDPB, die in september 2021 werd opgericht nadat de noyb meer dan 500 klachten over cookiebanners had ingediend. Het ontwerpverslag weerspiegelt de kleinste gemene deler in de interpretatie van het toepasselijke recht door de gegevensbeschermingsautoriteiten en stelt een minimumdrempel vast om cookiebanners met toestemming te beoordelen. Veel nationale richtlijnen gaan zelfs verder en ook noyb is van mening dat de wet verdere bescherming vereist, bijvoorbeeld op grond van de "fairness"-vereiste van de GDPR.
Gedeeltelijk stilzwijgen van de gegevensbeschermingsautoriteiten. Sommige kwesties worden in het ontwerpverslag van de EDPB niet volledig verduidelijkt. Het verslag zwijgt erover. Dit kan leiden tot verdere discussies en onzekerheid in de toekomst. De taskforce heeft onder meer geen besluit genomen over misleidende kleuren en contrasten van knoppen en heeft niet gedefinieerd wat "een zichtbare en gestandaardiseerde plaats" voor het intrekken van toestemming is. De definitieve versie van het EDPB-verslag is nog niet goedgekeurd. Het kan deze kwesties verder verduidelijken.
Felix Mikolasch, advocaat gegevensbescherming bij noyb:"Over sommige controversiële kwesties zwijgen de autoriteiten oorverdovend, bijvoorbeeld over misleidende kleuren van knoppen. Er zijnduidelijkere richtsnoeren nodig om gebruikers verder te beschermen."
Stand van zaken klachten noyb . In maart 2021 heeft noyb het web gescand op illegale cookiebanners en meer dan 700 klachten ingediend in heel Europa. Van de aanvankelijk gescande websites introduceerde ten minste 56% een meer conforme cookiebanner, waaronder Coca-Cola, Raiffeisen, Mastercard. Tot op heden zijn 60 zaken in verband met cookies afgesloten.
Eerste rechtszaken. In een verwant verhaal is noyb naar de rechter gestapt wegens besluiten van de Beierse gegevensbeschermingsautoriteit. In tegenstelling tot andere gegevensbeschermingsautoriteiten trad de Beierse gegevensbeschermingsautoriteit niet op tegen een banner die duidelijk misleidend was en gebruikers aanzette tot toestemming. De Beierse gegevensbeschermingsautoriteit voert vooral aan dat betrokkenen er geen recht op hebben dat een gegevensbeschermingsautoriteit actie onderneemt en dat de banner twijfelachtig was, maar dat de gegevensbeschermingsautoriteit het niet nodig vond om actie te ondernemen. noyb hoopt dat de betrokken rechtbanken het besluit van de gegevensbeschermingsautoriteit nu ongedaan maken en haar dwingen om de rechten van gebruikers te handhaven.