Чи вважається попередньо встановлений прапорець згодою в GDPR?

Аналіз дійсності згоди відповідно до Загального регламенту про захист даних (GDPR) показує, що попередньо встановлені прапорці не є дійсною згодою. Відповідно до Преамбули 32 GDPR, згода має бути:

• Надана вільно
• Конкретною
• Інформованою
• Однозначною

і вимагати чіткої стверджувальної дії з боку суб'єкта даних (European Parliament and Council, 2016). Це прямо означає, що пасивні дії, такі як попередньо встановлені прапорці або бездіяльність користувача, не відповідають цим стандартам.

Суд Європейського Союзу (CJEU) підтвердив це тлумачення у своїх судових рішеннях:

• У рішенні від 2019 року CJEU роз'яснив, що попередньо встановлений прапорець, який користувачі повинні активно зняти, не є дійсною згодою (справа C-673/17, Planet49 GmbH проти Bundesverband der Verbraucherzentralen und Verbraucherverbände e.V., 2019).
• Рішення 2020 року підтвердило цю позицію, наголошуючи на необхідності механізму активної згоди (opt-in) для забезпечення дійсності згоди.

Це означає, що організації, які покладаються на попередньо встановлені прапорці для отримання згоди на обробку даних, порушують вимоги GDPR. Активний вибір суб’єкта даних на надання згоди має бути підтверджений дією згоди (opt-in), що усуває неоднозначність і забезпечує відповідність вимогам.

Це узгоджується з науковим консенсусом, який підкреслює важливість чітких механізмів стверджувальної згоди для посилення автономії користувачів та контролю над персональними даними (Wright & Kreissl, 2020). Крім того, емпіричні дослідження показали, що попередньо встановлені прапорці:

• Підривають свободу волі користувача
• Збільшують ризик неусвідомленої згоди
• Не відповідають основним принципам GDPR

Отже, попередньо встановлені прапорці порушують стандарти GDPR щодо дійсності згоди. Юридичні та наукові дані підтверджують вимогу щодо чіткої, стверджувальної дії користувача для встановлення законності обробки персональних даних.