V stredu (17.4.2024) EDPB vydalo stanovisko k modelu „Pay or Okay“. Tento model je zjednodušene povedané postavený na tom, že používateľ má na výber i) zaplatiť a používať platformu bez behaviorálnych reklám („reklamy“), ii) nezaplatiť a nepoužívať platformu, iii) nezaplatiť peniazmi a používať platformu za podmienky, že používateľ dá súhlas so spracúvaním jeho údajov na účely takejto reklamy.
Naše závery o tom, prečo je tento model neudržateľný z pohľadu GDPR a prečo by mal byť takto získaný súhlas neplatný sme rozobrali v novembri 2023 v tomto článku. Nižšie sa zameriavame na kľúčové závery stanoviska EDPB, ktoré by mali rešpektovať aj vnútroštátne úrady.
EDPB hovorí, že model „Pay or Okay“ je možný len po splnení veľmi prísnych podmienok podľa GDPR. Dôkazné bremeno o ich splnení je pritom v drvivej väčšine na prevádzkovateľovi platformy. Čo sa týka podmienok, tie je možné naplniť dvom spôsobmi:
- Prvý – prevádzkovateľ platformy by musel k modelu „Pay (platený bez reklám) or Okay (neplatený so súhlasom a reklamami)“ zriadiť ešte aj tretiu variantu platformy (neplatený a bez súhlasu a reklám). Po zriadení tejto tretej varianty by malo byť pre prevádzkovateľa ľahko preukázateľné, že dotknutá osoba (ja, vy) do súhlasu so spracúvaním osobných údajov nebola nútená (t.j. cez model zaplať alebo daj súhlas);
- Druhý – prevádzkovateľ dokáže aj bez zavedenia tretej varianty preukázať, že používateľ mu dal svoj súhlas so spracúvaním osobných údajov slobodne, a teda nebol k nemu prinútený (t.j. cez model zaplať alebo daj súhlas).
Na to aby bol súhlas považovaný za slobodne daný, veľké online platformy musia dodržať všetky podmienky (ako ich predpokladá GDPR):
- Dotknutá osoba v dôsledku nedania súhlasu / odvolania súhlasu neutrpí nepriaznivý následok. T.j. ak nezaplatí, tak sa jej to nedotkne. Dotknúť sa jej to podľa EDPB môže aj v prípade, keď platforma zohráva významnú úlohu alebo je rozhodujúca pre účasť na spoločenskom živote alebo prístup k profesionálnym sieťam, a to ešte viac v prípade existencie lock-in alebo network efektov;
- Lock-in efekt: Efekt keď používatelia, ktorí platformu používajú už nejaký čas, si už možno vytvorili svoju online prítomnosť na platforme a investovali do nej, napríklad pokiaľ ide o kontakty a interakcie s inými používateľmi, vytváranie obsahu, získavanie sledovateľov a "lajkov" atď. Tento efekt sa ešte zosilňuje, ak používateľ strávil na platforme veľké množstvo času, napr. ak sa platforma ponúka už dlhšie [časové] obdobie.
- Network efekt: Efekt, keď interakcia na platforme alebo výber inej služby môže byť nereálny, pretože pre jednotlivca je ťažké presvedčiť napríklad svoje sociálne, profesionálne alebo politické okolie, aby prešli z jednej platformy na inú, ktorá nesleduje svojich používateľov.
- Nie je tu nerovnováha sily medzi prevádzkovateľom platformy a používateľom. Rozhodujúcimi faktormi sú napríklad postavenie prevádzkovateľa na trhu, existencia lock-in alebo network efektov, rozsah, v akom sa používateľ spolieha na platformu, a cieľové alebo prevládajúce publikum platformy.
- Platená verzia je rovnocenná alternatíva k neplatenej. Ak sa alternatívna verzia líši len v rozsahu nevyhnutnom v dôsledku toho, že prevádzkovateľ nemôže spracúvať osobné údaje na účely behaviorálnej reklamy, možno ju v zásade považovať za rovnocennú.
- Primeraná odmena. Skrz rozsudok SDEU vo veci C-252/21, ktorý v zásade povolil režim požadovania primeranej odmeny v nevyhnutných prípadoch, EDPB uvádza, že pokiaľ ide o primeranú odmenu tak treba postupovať prípad od prípadu. A to tak v otázkach, i) či je žiadanie odmeny vhodné, ii) či je jej výška za daných okolností primeraná, iii) či sú splnené všetky všetky požiadavky na súhlas podľa GDPR, iv) či výsledkom funkcie nebude, že právo na ochranu súkromia bude patriť len bohatým.
- Dotknutá osoba nedala jedným súhlasom súhlas na všetko. Teda či mala možnosť vybrať si, s ktorými účelmi (napr. personalizácia obsahu, personalizácia reklamy, vývoj služieb, meranie návštevnosti) súhlasí a s ktorými nie. Súhlas by preto nemal byť postavený tak, že jedným klikom používateľ udelí súhlas so všetkými účelmi. EDPB na druhej strane dodáva, že behaviorálna reklama je komplexný ekosystém, a preto pokiaľ ide o technické procesy, ktoré sú neoddeliteľné s konkrétnym účelom, tak na tieto prevádzkovatelia ďalší súhlas nevyhnutne nepotrebujú.
- EDPB ďalej rozoberá aj ďalšie požiadavky, ako sú informovanosť súhlasu (t.j., informácia v hlbšom detaile a vrstvená), jednoznačnosť súhlasu (t.j., vyžadovaný bez technických trikov a tendenčným rozložením webu), konkrétnosť súhlasu, zásada minimalizácie súhlasu, minimalizácie účelu, zodpovednosti prevádzkovateľa, atp.
V zhrnutí držíme prevádzkovateľom veľkých online platforiem pri zavádzaní modelu „Pay or Okay“ bez tretej alternatívy (teda nedaj súhlas a nemaj reklamu) palce. Vzhľadom na rozsah publika, ktoré platformy targetujú, lock-in a network efekty a veľkú podrobnosť pri informovaní dotknutých osôb (mňa, vás), bude redizajn celého procesu zbierania súhlasov vyžadovať tvrdú a dlhú prácu.
Zároveň zdôrazňujeme, že pokiaľ ide o reklamu, tak tento článok sa týka len behaviorálnej reklamy, nie iných formiem reklamy (napr. influencer či content marketingu). Tieto sú prípustné, potvrdil to aj EDPB. Detail, prečo tomu tak je si môžete prečítať napríklad aj tu.
Celé stanovisko EDPB nájdete tu.
In respect of the imposition of a fee to access the 'equivalent alternative' version of the service, the EDPB recalls that personal data cannot be considered as a tradeable commodity, and controllers should bear in mind the need of preventing the fundamental right to data protection from being transformed into a feature that data subjects have to pay to enjoy. (...) The accountability principle is key in this regard. Supervisory authorities are tasked with enforcing the application of the GDPR, which may also relate to the impact of any fee on the data subjects' freedom of choice.