آیا یک کادر از پیش علامت‌خورده به عنوان رضایت در GDPR محسوب می‌شود؟

تحلیل اعتبار رضایت تحت مقررات عمومی حفاظت از داده‌ها (GDPR) نشان می‌دهد که کادرهای از پیش علامت‌زده شده رضایت معتبر محسوب نمی‌شوند. بر اساس مقدمه ۳۲ (Recital 32) از GDPR، رضایت باید:

• آزادانه ارائه شده باشد
• مشخص باشد
• آگاهانه باشد
• بدون ابهام باشد

و نیازمند یک اقدام تأییدی واضح از سوی صاحب داده (European Parliament and Council, 2016) است. این امر مستقیماً به این معناست که اقدامات منفعلانه مانند کادرهای از پیش علامت‌زده شده یا عدم فعالیت کاربر، این استانداردها را برآورده نمی‌کنند.

دیوان دادگستری اتحادیه اروپا (CJEU) این تفسیر را از طریق احکام قضایی تقویت کرده است:

• در تصمیمی در سال ۲۰۱۹، CJEU تصریح کرد که یک کادر تأییدی از پیش علامت‌زده شده که کاربران باید فعالانه آن را از حالت انتخاب خارج کنند، به منزله رضایت معتبر نیست (Case C-673/17, Planet49 GmbH v Bundesverband der Verbraucherzentralen und Verbraucherverbände e.V., 2019).
• حکم سال ۲۰۲۰ این موضع را مجدداً تأیید کرد و بر لزوم یک سازوکار انتخاب مثبت (opt-in) برای تضمین اعتبار رضایت تأکید نمود.

پیامدهای این امر آن است که سازمان‌هایی که برای رضایت پردازش داده‌ها به کادرهای از پیش علامت‌زده شده تکیه می‌کنند، مقررات GDPR را نقض کرده‌اند. انتخاب فعالانه صاحب داده برای رضایت باید با یک اقدام انتخابی (opt-in) اثبات شود تا ابهام از بین رفته و انطباق تضمین گردد.

این موضوع با اجماع علمی که بر اهمیت سازوکارهای رضایت صریح و تأییدی برای تقویت استقلال و کنترل کاربر بر داده‌های شخصی تأکید دارد، همسو است (Wright & Kreissl, 2020). علاوه بر این، مطالعات تجربی نشان داده‌اند که کادرهای از پیش علامت‌زده شده:

• اختیار کاربر را تضعیف می‌کنند
• خطر رضایت ناآگاهانه را افزایش می‌دهند
• با اصول بنیادین GDPR ناسازگار هستند

به طور خلاصه، کادرهای از پیش علامت‌زده شده استانداردهای GDPR برای رضایت معتبر را نقض می‌کنند. شواهد حقوقی و دانشگاهی از لزوم اقدام صریح و تأییدی کاربر برای برقراری پردازش قانونی داده‌های شخصی حمایت می‌کنند.