Model „pay or ok” to rozwiązanie coraz częściej stosowane przez wydawców serwisów internetowych, w tym dostawców platform, dla pozyskania zgód na wykorzystywanie lub zapisywanie na urządzeniu końcowym użytkownika kodów śledzących w celach reklamowych. W tym modelu funkcjonuje całe mnóstwo dostawców usług społeczeństwa informacyjnego: „darmowe” konta poczty elektronicznej dlatego nie wymagają zapłaty w pieniądzu, ponieważ usługobiorca godzi się na przetwarzanie jego danych osobowych w celach marketingowych, „darmowe” aplikacje dlatego nie wymagają zapłaty w pieniądzu, ponieważ usługobiorca godzi się na oglądanie reklam w czasie korzystania z aplikacji itd. Za coraz więcej usług płacimy nie pieniędzmi, ale naszymi danymi i zgodą na ich wykorzystanie do różnych celów.
Model ten wzbudza jednak kontrowersje z perspektywy przepisów o ochronie danych osobowych. W szczególności wątpliwości pojawiają się w kontekście tego, czy wdrożenie takiego mechanizmu jest zgodne z wymogiem „dobrowolności” zgody (art. 4 pkt 11 i art. 7 ust. 4 RODO).
Problem warunkowania wykonania usługi wyłącznie od wyrażenia przez klienta zgody na przetwarzanie danych osobowych w celach marketingowych, bez żadnej alternatywy dla takiego rozwiązania – bez konieczności godzenia się na reklamę, jest (na szczęście) coraz rzadszym zjawiskiem. Bowiem zgodę wyrażoną pod takim warunkiem jednoznacznie uznaje się za wadliwą, a wręcz nieważną, jako wymuszoną. Zgoda bowiem to „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli”. Skoro bez wyrażenia zgody nie można skorzystać z usługi, gdzie tu „dobrowolność”?
Natomiast obecnie zewsząd zalewa nas inny patent na zgody marketingowe. Polega on na tym, że usługi są wprost promowane jako darmowe i zasadniczo, aby móc z nich korzystać, klient nie musi uiszczać żadnej opłaty. Przynajmniej teoretycznie. Natomiast przy zawieraniu umowy okazuje się, że warunkiem tej „bezpłatności” jest wyrażenie zgody na przetwarzanie danych w celach marketingowych. Ale jest też druga, alternatywna opcja – jeśli klient nie chce wyrazić zgody na przetwarzanie danych w celach marketingowych, dalej, co prawda, może skorzystać z usługi, ale tym razem już odpłatnie.
Na ogół uznaje się, że proponowanie tańszej lub nawet darmowej usługi w zamian za zgodę na marketing jest zgodne z prawem, ale tylko wtedy, gdy klient może wybrać równorzędną ofertę bez udzielania takiej zgody.
Ale czy na pewno równoważną ofertą jest ta sama usługa, tylko odpłatna? Czy na pewno, wybierając „darmową” opcję wiążącą się z wyrażeniem zgody na przetwarzanie danych w celach marketingowych, możemy mówić o, w pełni, dobrowolnej zgodzie? Czy po prostu wielu klientów wybiera mniejsze („tańsze” w ich rozumieniu) „zło”? Wydaje się, że w takiej sytuacji proces udzielania zgody jest w praktyce zaburzony przez możliwość uzyskania upustu.
Temat ten, podczas ostatniego posiedzenia plenarnego w dniu 17 kwietnia 2024 roku – wzięła na tapet Europejska Rada Ochrony Danych (EROD) w przedmiocie ważności zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej w kontekście modeli „zgoda lub zapłata” wdrażanych przez duże platformy internetowe takie jak Instagram i Facebook.
Jakiś czas temu – w listopadzie 2023 roku informowaliśmy, że EROD zakazała Meta przetwarzania danych osobowych w celu wyświetlania spersonalizowanych reklam, w sytuacji, gdy dane takie są zbierane na podstawie prawnie uzasadnionego interesu spółki, jak i wtedy, gdy dane są zbierane w celu wykonania umowy. Wówczas Meta zaproponowała podejście oparte na zgodzie użytkownika Facebooka i Instagrama jako podstawie prawnej. W praktyce Meta postawiła użytkowników swojej platformy społecznościowej przed wyborem: albo zgodzisz się na profilowanie dla potrzeb reklamy, na czym Facebook zarabia (reklama cyfrowa to podstawa jego modelu biznesowego), albo zapłacisz za “wersję premium” serwisu, w której dane nie będą wykorzystywane dla potrzeb reklamy (nie oznacza to jednak, że nie będą gromadzone – dla tzw. “uzasadnionego” użycia).
Teraz przedmiotem opinii EROD jest implementacja przez duże platformy internetowe (zgodnie z definicją z Digital Services Act) modelu „zgoda albo opłata”, w których użytkownicy są proszeni o wyrażenie zgody na przetwarzanie danych do celów reklamy behawioralnej. W uproszczeniu polega to na tym, że użytkownik ma do wyboru dwie opcje: albo opłata za brak wykorzystywania jego danych przez np. Facebook’a i brak reklam albo wyraża on zgodę i „płaci” wykorzystaniem jego danych do celów reklamy behawioralnej.
Przewodnicząca EROD Anu Talus powiedziała: „Platformy internetowe powinny dawać użytkownikom rzeczywisty wybór przy stosowaniu modeli „zgoda lub zapłata”. Modele, z którymi mamy do czynienia obecnie, zwykle wymagają od osób fizycznych albo przekazania wszystkich swoich danych, albo zapłaty. W rezultacie większość użytkowników wyraża zgodę na przetwarzanie danych w celu korzystania z usługi i nie rozumie pełnych konsekwencji swoich wyborów”.
EROD uważa, że duże platformy internetowe w większości przypadków nie będą w stanie spełnić wymogów dotyczących ważnej zgody, jeśli będą stawiać użytkowników jedynie przed wyborem między wyrażeniem zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej a uiszczeniem opłaty.
Oferowanie jedynie płatnej alternatywy dla usług, które wiążą się z przetwarzaniem danych osobowych do celów reklamy behawioralnej, nie powinno być domyślnym rozwiązaniem stosowanym przez administratorów. Opracowując alternatywne rozwiązania, duże platformy internetowe powinny rozważyć zapewnienie osobom fizycznym „równoważnej alternatywy”, która nie wymaga uiszczenia opłaty. Jeśli administratorzy zdecydują się na pobieranie opłaty za dostęp do „równoważnej alternatywy”, powinni rozważyć zaoferowanie dodatkowej alternatywy. Ta bezpłatna alternatywa powinna być pozbawiona reklamy behawioralnej, np. z formą reklamy wiążącą się z przetwarzaniem mniejszej ilości danych osobowych lub ich brakiem. W większości przypadków to, czy administrator oferuje bezpłatnie inną alternatywę bez reklamy behawioralnej, będzie miało istotny wpływ na ocenę ważności zgody [1].
Jeśli chodzi o wymóg dobrowolności zgody, należy wziąć pod uwagę następujące kryteria: warunkowość, szkodliwość, brak równowagi sił i szczegółowość.
EROD wskazuje na przykład, że żadna pobierana opłata nie może sprawiać, że osoby fizyczne czują się zmuszone do wyrażenia zgody. Administratorzy powinni ocenić, indywidualnie dla każdego przypadku, zarówno czy opłata jest w ogóle odpowiednia, jak i jaka kwota jest odpowiednia w danych okolicznościach. Duże platformy internetowe powinny również rozważyć, czy decyzja o niewyrażeniu zgody może narazić daną osobę na negatywne konsekwencje, takie jak wykluczenie z ważnej usługi, brak dostępu do sieci zawodowych lub ryzyko utraty treści lub połączeń.
Administratorzy danych muszą również ocenić, indywidualnie dla każdego przypadku, czy istnieje nierównowaga sił między osobą fizyczną, a administratorem danych. Czynniki podlegające ocenie obejmują pozycję dużych platform internetowych na rynku, zakres, w jakim dana osoba polega na usłudze oraz głównych odbiorców usługi.
Kolejnym warunkiem ważności zgody jest jej szczegółowość: osoba, której dane dotyczą, powinna mieć swobodę wyboru celu przetwarzania, który akceptuje, a nie być konfrontowana z tylko jednym wnioskiem o zgodę łączącym kilka celów. Ważna zgoda musi być również konkretna, tj. udzielona w jednym lub kilku konkretnych celach, i stanowić jednoznaczne wyrażenie woli: szczególnie ważne jest, aby administratorzy uważnie zaprojektowali sposób, w jaki osoby są proszone o wyrażenie zgody.
Przewodnicząca EROD, Anu Talus, dodała: „Administratorzy danych powinni zawsze uważać, aby nie przekształcić podstawowego prawa do ochrony danych w funkcję, za którą osoby fizyczne muszą płacić. Osoby fizyczne powinny być w pełni świadome wartości i konsekwencji swoich wyborów”.
Oprócz opinii na podstawie art. 64 ust. 2 RODO, EROD opracuje również wytyczne dotyczące modeli „zgoda lub zapłata” o szerszym zakresie i będzie współpracować z zainteresowanymi stronami w sprawie tych przyszłych wytycznych [2].
[1]https://www.edpb.europa.eu/system/files/202404/edpb_opinion_202408_consentorpay_en.pdf
[2]https://uodo.gov.pl/pl/138/3070