Berisping gokbedrijf voor het onjuiste ontwerp van cookiebanner
De Zweedse privacy toezichthouder heeft een gokbedrijf berispt voor het onjuiste ontwerp van hun cookiebanner. De grafische nadruk van de accept-optie en de extra stappen die nodig zijn om cookies te weigeren, maakten de toestemming op grond van artikel 6 van de AVG ongeldig.
De betrokkene diende een klacht in tegen Aktiebolaget Trav och Galopp, een van de grootste Zweedse gokbedrijven, de verwerkingsverantwoordelijke, waarin hij beweerde dat gebruikers geen geldige toestemming konden geven en dat ze cookies niet konden weigeren. Meer in het bijzonder werd beweerd dat de keuze van de kleur, het contrast en de links van de cookiebanner misleidend was. Dit staat de betrokkene niet toe om een "geïnformeerde en vrijelijk gegeven toestemming" te geven, wat in strijd zou zijn met het beginsel van transparantie.
De verwerkingsverantwoordelijke voerde aan dat op het moment van de klacht toestemming de rechtsgrondslag was voor de verwerking en dat het mogelijk was om cookies te weigeren en de toestemming in te trekken in de tweede laag, d.w.z. via de link die in de cookiebanner is geplaatst, onder het kopje "Hoe beheer ik de acceptatie/afwijzing van cookies?".
Vanaf oktober 2021 introduceerde de verwerkingsverantwoordelijke een duidelijke "weiger"-knop in plaats van een link die leidt naar een tweede laag waar cookies kunnen worden geweigerd. Bovendien veranderde de controller de kleur en het contrast van de acceptatie- en weigeringsknoppen. Tot slot zijn er geen andere dan noodzakelijke cookies in de browser van de bezoeker geplaatst voordat de betrokkenen hun toestemming gaven.
Overwegingen
Hoewel de Zweedse privacy toezichthouder erkende dat de Zweedse Post- en Telecomautoriteit over het algemeen de enige bevoegde autoriteit is op het gebied van de Zweedse wet inzake elektronische communicatie 2022:482, was zij ook van mening dat de verwerking van persoonsgegevens die plaatsvindt na het verzamelen van dergelijke gegevens, onderworpen is aan de AVG. De Zweedse privacy toezichthouder heeft dus besloten de zaak alleen te analyseren voor zover het betrekking heeft op de verwerking van persoonsgegevens die heeft plaatsgevonden nadat de gegevens zijn verzameld en op de tekortkomingen die in de klacht zijn uiteengezet.
De Zweedse privacy toezichthouder heeft haar analyse toegespitst op de toestemmingsvereisten op grond van artikel 6, lid 1, onder a), en artikel 4, lid 11, van de AVG. Meer in het bijzonder was het Hof van oordeel dat de toestemming slechts "vrijelijk gegeven en geïnformeerd" kan zijn indien de betrokkene een "echte en vrije keuze" heeft (overweging 42). De EDPB-richtsnoeren 05/2020 over toestemming onder de AVG vereisen ook dat de verwerkingsverantwoordelijke toestemmingsoplossingen ontwerpt op een manier die duidelijk is voor de betrokkene.
Bovendien voorziet artikel 7, lid 3, AVG in het recht van de betrokkenen om hun toestemming te allen tijde in te trekken, wat vereist dat het even gemakkelijk is om hun toestemming in te trekken als om toestemming te geven.
Tegen deze achtergrond is de Zweedse privacy toezichthouder op het moment van de klacht begonnen met haar analyse van de cookiebanner op de website van de verwerkingsverantwoordelijke. De analyse was toegespitst op twee elementen:
- Vergelijking van toestemmings- en intrekkingsprocedures
Wanneer een betrokkene de website voor het eerst bezoekt, verschijnt de cookiebanner onmiddellijk. Om cookies te accepteren, was het gewoon mogelijk om op de knop "Accepteren" te klikken. Het intrekken van de toestemming was echter alleen mogelijk via het cookiebeleid van het bedrijf, dat zich in de voettekst onder het kopje 'Persoonsgegevens' bevond. Vervolgens was het nodig om op de knop "Cookies" te klikken en vervolgens op de knop "Hoe beheer ik de acceptatie/afwijzing van cookies?". De Zweedse privacy toezichthouder achtte het duidelijk dat de stappen om cookies te accepteren aanzienlijk korter zijn dan om een dergelijke acceptatie in te trekken. Bovendien vond de Zweedse privacy toezichthouder het voor betrokkenen moeilijk om te vinden waar ze hun toestemming überhaupt konden intrekken.
Zelfs met betrekking tot de bijgewerkte cookiebanner moeten de betrokkenen nog steeds alle bovenstaande stappen doorlopen om de toestemming in te trekken, wat betekent dat de aangebrachte wijzigingen het intrekken van de toestemming niet zo gemakkelijk mogelijk maken als de acceptatie.
- Misleidend ontwerp
De verwerkingsverantwoordelijke gebruikte twee verschillende kleuren voor de opties "Selecteer uw cookies" en "Accepteren". Als de betrokkene cookies wilde accepteren, was er een groene met witte tekstknop beschikbaar, terwijl om cookies te weigeren een grijs/zwarte link beschikbaar was. De achtergrond van het spandoek was wit. De Zweedse privacy toezichthouder was van mening dat de link om cookies te weigeren niet zo prominent is als een groene knop op een witte achtergrond.
Het feit dat een link wordt gebruikt, belemmert verder het begrip van de betrokkenen of de link louter informatief is of dat deze de gebruiker in feite in staat stelt het gebruik van cookies te weigeren. In feite is een dergelijke link op dezelfde manier ontworpen als de algemene informatie over cookies in de banner. Dit versterkte de perceptie van de gebruiker dat hij alleen cookies kan accepteren en dat er geen andere mogelijkheid was om cookies te weigeren.
De Zweedse privacy toezichthouder concludeerde dan ook dat de toestemming van de betrokkene geen uitdrukking was van zijn ondubbelzinnige wil, aangezien het ontwerp de indruk wekte dat er geen andere opties dan toestemming beschikbaar waren. De toestemming van de betrokkene kan dus niet worden beschouwd als geïnformeerd en vrijelijk gegeven.
Zelfs met betrekking tot de wijzigingen die na 21 oktober 2021 zijn aangebracht, was de GBA van mening dat het ontwerp de optie om alle cookies te accepteren prominenter maakt dan weigeren. De optie om cookies te accepteren heeft namelijk een visueel sterker contrast met de achtergrond dan de optie om cookies te weigeren.
Corrigerende maatregel
Daarom achtte de GBA het passend om de verwerkingsverantwoordelijke een berisping op te leggen voor de schending van artikel 6 en artikel 7, lid 3, van de AVG.
Bron: IMY (Zweden) - 2023-16453 - GDPRhub