LUP Student Papers

An examination of the criteria for valid consent under the GDPR in the light of the rationale and technological neutrality

• Mark

Abstract

As a means to safeguard the fundamental right to data protection in light of the rapid advancement of use of technology and to address the fragmented implementation of data protection, the GDPR was introduced. For processing of personal data to be lawful under the GDPR, processing must have a legal basis, such as consent. The ePrivacy Directive establishes that consent is the only valid legal basis for certain processing purposes within the electronic communications sector, thus making the lawfulness of many processing activities dependent on consent. As consent is considered as the cornerstone of data protection, it is vital that the notion of valid consent is consistent with GDPR’s dual rationale; the rationale encompasses the protection... (More)

As a means to safeguard the fundamental right to data protection in light of the rapid advancement of use of technology and to address the fragmented implementation of data protection, the GDPR was introduced. For processing of personal data to be lawful under the GDPR, processing must have a legal basis, such as consent. The ePrivacy Directive establishes that consent is the only valid legal basis for certain processing purposes within the electronic communications sector, thus making the lawfulness of many processing activities dependent on consent. As consent is considered as the cornerstone of data protection, it is vital that the notion of valid consent is consistent with GDPR’s dual rationale; the rationale encompasses the protection of fundamental rights, where data protection is central but not absolute, and the protection of the free movement of data within the European Union. Additionally, technological neutrality is a prerequisite for achieving modern legislation that can meet current needs. Without understanding the criteria for valid consent, compliance is challenging. By researching the requirements for valid consent as defined by the GDPR as well as how the criteria have been interpreted by both the CJEU and at national level, this thesis provides a teleological examination of the criteria in the light of the rationale and technological neutrality.

The GDPR establishes four cumulative criteria for valid consent: ‘freely given’, ‘specific’, ‘informed’ and ‘unambiguous’. Freely given consent aims at rejecting consent that has been given under coercive circumstances that do not represent the data subject’s own free will. Specific consent entails that consent has been given to a well-defined and granular purpose. The data subject must be provided with information that enables them to make an informed decision. Finally, there must not be any doubt as to whether the data subject intended to consent or not, thus requiring unambiguity in respect to the data subjects’ intentions. The CJEU has provided some guidance on the criteria, especially on what is required for the criteria to be met when requesting consent using cookie banners. However, there is ambiguity in relation to the distinction of, and attribution to, the criteria. As the criteria leave room for interpretation, there is a level of discrepancy in interpretation and enforcement amongst Member States that gives rise to fragmentation, thus contravening harmonisation and free flow of data within the Union. As shown by several DPA decisions, notably the decision against IAB Europe’s Transparency & Consent Framework in the European AdTech industry, entire technological solutions have been declared as unlawful; the ability to obtain consent has been virtually precluded despite consent being required as a legal basis. Such interpretation is thus not technologically neutral. As the provisions are not practically possible to comply with, the legislation essentially fails with protecting the right to data protection. While further research is needed in order to assess the consequences on specific fundamental rights and freedoms, it can be noted that the current consent criteria might be problematic in relation to the various interests under the rationale.

While beyond the scope of the paper, it is suggested that the issues attributed to the interpretation of the criteria, in regard to the rationale, might be an issue of when consent is required rather than the essence of consent. Perhaps, in the light of the rationale and technological neutrality, the criteria for valid consent under the GDPR are neither good or bad, but rather dependant on the context and whether the limits of consent as the appropriate legal basis have been adequately considered. (Less)

Abstract (Swedish)

I syfte att säkerställa den grundläggande rätten till skydd av data samt att motverka fragmenteringen av dataskyddsrätten inom EU infördes den allmänna dataskyddsförordningen, ’GDPR’. För att personuppgiftsbehandling ska vara tillåtet under GDPR, krävs det rättslig grund, exempelvis samtycke. För särskilda behandlingsändamål inom elektronisk kommunikation fastställer ePrivacy-direktivet att enbart samtycke utgör giltig rättslig grund,
vilket innebär att samtycke är avgörande för lagligheten av särskilda behandlingsaktiviteter. Då samtycke anses vara en grundpelare i skyddet av data är det viktigt att samtycke är förenligt med GDPRs syfte att å ena sidan säkerställa fundamentala fri- och rättigheter, varav skydd av data är centralt, och... (More)

I syfte att säkerställa den grundläggande rätten till skydd av data samt att motverka fragmenteringen av dataskyddsrätten inom EU infördes den allmänna dataskyddsförordningen, ’GDPR’. För att personuppgiftsbehandling ska vara tillåtet under GDPR, krävs det rättslig grund, exempelvis samtycke. För särskilda behandlingsändamål inom elektronisk kommunikation fastställer ePrivacy-direktivet att enbart samtycke utgör giltig rättslig grund,
vilket innebär att samtycke är avgörande för lagligheten av särskilda behandlingsaktiviteter. Då samtycke anses vara en grundpelare i skyddet av data är det viktigt att samtycke är förenligt med GDPRs syfte att å ena sidan säkerställa fundamentala fri- och rättigheter, varav skydd av data är centralt, och att å andra sidan skydda den fria rörligheten av data inom EU. Vidare ställs
det upp ett krav på teknologisk neutralitet för att säkerställa en modern lagstiftning som kan möta nutida behov. Utan förståelse för de krav som ställs för giltigt samtycke blir rättelse i enlighet med bestämmelsen utmanande. Genom att utreda samtyckeskraven som uttryckt av GDPR samt tolkningen av samtycke av dels EU-domstolen och dels av nationella myndigheter, möjliggörs en teleologisk undersökning av samtyckeskraven i ljuset av GDPRs syfte och teknologisk neutralitet.

GDPR ställer upp fyra kumulativa kriterier för giltigt samtycke innebärandes att samtycke måste vara frivilligt, specifikt, informerat och en otvetydig viljeyttring. Frivilligt samtycke åsyftar till att ge uttryck för en persons egen fria vilja genom att utesluta samtycke som givits under yttre påtryckning. Specifikt samtycke ställer upp ett krav på att syftet för behandlingen för vilken samtycke begärs är väldefinierat och avgränsat. Ett informerat beslut kräver att tillräcklig samt tydlig information presenteras före samtyckandet. Slutligen får det inte föreligga tvivel kring huruvida intentionen varit att samtycka. Medan EU-domstolen gett vägledning i vad som krävs för att uppfylla kriterierna, råder det fortsatt tvetydighet gällande avgränsningen och identifiering av kriterierna. Då det finns tolkningsutrymme föreligger det en diskrepans medlemsstater emellan. Detta ger upphov till fragmentering, vilket således motverkar harmonisering och fritt flöde av data inom unionen. Av nationella dataskyddsmyndigheters beslut, särskilt beslutet mot IAB Europes ramverk som reglerar stora delar av den digitala marknadsföringsindustrin inom EU, framgår det att hela metoder och tekniska lösningar omöjliggörs då kraven för giltigt samtycke har ansetts omöjliga att uppnå samtidigt som samtycke krävs enligt ePrivacy-direktivet. En sådan tolkning av samtycke kan inte anses
teknologiskt neutral. Då tillämpningen av GDPR omöjliggörs, misslyckas en sådan tolkning av samtycke dessutom med att säkerställa grundläggande fri- och rättigheter. Fastän vidare forskning krävs för att bedöma samtyckeskravens konsekvenser för specifika fri- och rättigheter, kan det noteras att samtyckeskraven i deras nuvarande bemärkelse kan vara problematiska i förhållande till GDPRs syften.

Även om det ligger bortom ramen för detta arbete, noteras att de problem som hänförs till tolkningen av samtyckeskraven avseende GDPRs syften, kan vara en fråga om när samtycke krävs. Det är möjligt att kriterierna för giltigt samtycke varken är bra eller dåliga i ljuset av GDPRs syften och teknologisk neutralitet, utan snarare beror på sammanhanget samt huruvida samtyckets lämplighet som rättslig grund har beaktats. (Less)