Nederländsk domstol dömer ut sanktioner för företagen Microsoft, LinkedIn och Xandr efter att dessa har implementerat cookies utan användarens samtycke. Den klagande besökte flertalet hemsidor och klickade aktivt på att inte acceptera cookies. Den klagande anlitade sedan en tredje part för att göra en oberoende utredning av dessa sidors samling av personlig data genom de placerade cookies. Utredningens resultat visade att Microsoft, LinkedIn och Xandr hade implementerat cookies och samlat in personuppgifter trots att det saknades samtycke.
Företagen menade att de inte kan anses vara ansvariga för detta då de endast behandlar uppgifterna och att ansvaret istället bör ligga hos webbplatsoperatören. Domstolen håller inte med om argumentet utan menar att de anses vara personuppgiftsansvariga enligt GDPR och således bär ansvaret. Företagen argumenterar även att de inte aktivt behandlar uppgifterna som samlas in genom dessa cookies. Domstolen avvisar även detta och hävdar att personuppgiftsbehandling sker redan när cookien är placerad för att samla in personlig data och inte när uppgifterna faktiskt läses i marknadsföringssyfte.
Efter att företagen inte kunnat bevisa att cookies endast placerades efter samtycke dömde domstolen att det var överträdelse av både nederländsk lag samt GDPR. Domstolen utdömde en straffavgift på €500 per företag samt €1,000 per dag av bristande efterlevnad av beslutet.
