Blogg

Uppdaterade riktlinjer för samtycke under GDPR från Europeiska dataskyddsstyrelsen (EDPB)

Featured Image

Den 4 maj 2020 uppdaterade Europeiska dataskyddsstyrelsen (EDPB) riktlinjerna för samtycke online för att följa GDPR. Vi har sammanfattat uppdateringen här nedan och vi kommer även att hålla ett webinar där vi berättar allt du behöver veta om de uppdaterade riktlinjerna.

Delta i vårt webinar 4 juni 2020 kl. 13.00 för att lära dig mer. Registrera dig nu!

Bakgrund till GDPR

I GDPR redovisas sex rättsliga grunder för behandling av personuppgifter: samtycke, avtal, rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse, intresseavvägning och grundläggande intresse. Den senaste uppdateringen av riktlinjerna från EDPB gäller samtycke.

Den första rättsliga grund som fokuserar på samtycke i GDPR säger: ”den registrerade har gett samtycke till behandlingen av hans eller hennes personuppgifter för ett eller flera specifika syften”. Samtycke måste vara informerat, ej paketerat, aktivt, under jämlika maktförhållanden, detaljerat och lätt att återkalla.

De uppdaterade riktlinjerna

Den senaste uppdateringen lyfte fram ett behov av förtydligande på två punkter:

  • Giltigheten av samtycke som tillhandahålls av registrerade när de interagerar med “cookie-väggar”.
  • Att använda en handling som att scrolla eller bläddra genom en webbsida, eller liknande användaraktivitet, som en grund för tydligt och bekräftande samtycke.

En cookie-vägg är en typ av pop-up på en webbplats som inte tillåter användaren åtkomst om inte samtycke ges. För att adressera det förtydligande som krävs kring cookie-väggarna har EDPB kommit med två huvudsakliga rekommendationer:

  • Tjänsteleverantörer kan inte förhindra att registrerade får tillgång till en tjänst på grund av att de inte samtycker.
  • “Cookie-väggar” är inte tillåtna: Tillgång till tjänster och funktioner får inte göras på villkor av användarens samtycke till placering av cookies eller liknande teknik på deras enhet.

Riktlinjerna fastställer i synnerhet att när personuppgiftsansvariga erbjuder ett val mellan deras tjänst, som inkluderar samtycke till användning av personuppgifter för ytterligare ändamål, och en motsvarande tjänst som erbjuds av en annan personuppgiftsansvarig, kan samtycke inte anses vara fritt givet. Riktlinjerna förklarar också att giltigheten av samtycke kan bestämmas genom att jämföra tjänster som tillhandahålls av andra marknadsaktörer.

Riktlinjerna klargör också att scrollning eller bläddring på en webbsida – eller liknande handlingar – inte utgör en tydlig eller bekräftande handling. Således har entydigt samtycke inte erhållits och det finns heller inte ett sätt för användaren att återkalla samtycket på ett sätt som är lika enkelt som att bevilja det.

Delta i vårt webinar för att lära dig mer om de uppdaterade riktlinjerna. Du kan också lära dig mer från OneTrust DataGuidance  i denna artikel: EU: EDPB adopts updated guidelines on consent under the GDPR