Model “pay or ok” to rozwiązanie coraz częściej stosowane przez wydawców serwisów internetowych, w tym dostawców platform, dla pozyskania zgód na wykorzystywanie lub zapisywanie na urządzeniu końcowym użytkownika kodów śledzących w celach reklamowych. Model ten wzbudza jednak kontrowersje z perspektywy przepisów o ochronie danych osobowych.
Model „pay or ok” – zagadnienia wprowadzające
W modelu „pay or ok”[1] wydawca strony internetowej, który korzysta z rozwiązań przypominających cookie banery, stawia użytkowników przed wyborem co do preferencji dalszego korzystania z serwisu – odwiedzający stronę, żeby móc uzyskać do niej dostęp, musi zadecydować:
- czy udzielić zgody na wykorzystywanie kodów śledzących i przetwarzanie jego danych osobowych w celach marketingowych albo
- czy uiścić drobną opłatę pieniężną za dostęp do treści bez otrzymywania spersonalizowanych reklam.
Wybór opcji płatnej subskrypcji pozwala odwiedzającym stronę przeglądać dodane na niej treści bez zapisywania na ich urządzeniach końcowych marketingowych plików cookies lub innych kodów śledzących (identyfikatorów). Zatem odwiedzający witrynę nie płacą za same artykuły lub treści dostępne na niej, ale za to, iż informacje o tym, w jaki sposób korzystają ze strony, nie będą wykorzystywane dla dostosowywania treści reklamowych. Osoby, które nie chcą, aby ich dane były przetwarzane w takich celach, mogą po prostu zapłacić wydawcy za dostęp do strony, zapewniając mu alternatywne źródło dochodu w stosunku do zysku, który mógłby uzyskać, gdyby użytkownik zgodził się na wykorzystywanie jego danych w celach marketingowych. Inaczej ujmując, mechanizm „pay or ok” zasadniczo pozwala osobom odwiedzającym dany serwis internetowy na swobodny wybór między dwiema usługami, które są równoważne pod względem dostarczanych treści lub usług: pierwszą, która jest finansowana przynajmniej częściowo przez strony trzecie (reklamodawców, partnerów wydawcy) za pośrednictwem spersonalizowanych reklam, a drugą, która jest finansowana bezpośrednio przez czytelnika strony (odbiorcę usługi).
W środowisku cyfrowym model „pay or ok” jest stosowany od dłuższego czasu jako jeden ze sposobów monetyzacji treści publikowanych w Internecie przez wydawców różnych serwisów internetowych np. gazet, blogów. Rozwiązanie to stało się szerzej komentowane po jego wdrożeniu przez Meta na platformach „Facebook” oraz „Instagram” w 2023 roku.
Kontrowersje wokół mechanizmu „pay or ok”
Model „pay or ok” wzbudza kontrowersje z perspektywy przepisów o ochronie danych osobowych. W szczególności wątpliwości pojawiają się w kontekście tego, czy wdrożenie takiego mechanizmu jest zgodne z wymogiem „dobrowolności zgody (art. 4 pkt 11 i art. 7 ust. 4 RODO).
Każdy administrator, który wnioskuje o zgodę podmiotu danych musi wykazać, iż podmiot danych ma rzeczywistą możliwość odmówienia lub wycofania zgody bez niekorzystnych konsekwencji (motyw 42 preambuły do RODO). W Wytycznych EROD 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679 wskazano, iż administratorzy wnioskujący o zgodę podmiotu danych muszą wykazać, iż odmowa jej udzielenia lub jej wycofanie nie będzie wiązać się z negatywnymi konsekwencjami dla osoby, której dane dotyczą – np. koniecznością poniesienia kosztów. Z drugiej strony EROD podkreśla, iż RODO nie wyklucza wszystkich zachęt do wyrażenia zgody przez podmiot danych, jednak ciężar udowodnienia dobrowolnego charakteru zgody we wszystkich okolicznościach ciąży na administratorze (Wytyczne EROD 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679, s. 13-14).
Dodatkowo ocenę prawną mechanizmu „pay or ok” komplikuje stanowisko TSUE wyrażone w wyroku z 4.07.2023 r. ws. Meta Platforms, C-252/21 (ECLI:EU:C:2023:537). W tej sprawie skład orzekający pośrednio uznał, iż operatorzy platform społecznościowych, zajmujący pozycję dominującą na rynku sieci społecznościowych, mogą oferować użytkownikom w stosownym przypadku za odpowiednim wynagrodzeniem równoważną alternatywę, która nie jest powiązana z operacjami przetwarzania danych, które nie są niezbędne do zawarcia umowy o korzystania z sieci z użytkownikiem. Wyrok w tej sprawie zapadł jednak w określonym stanie faktycznym dotyczącym platformy Facebook.
Krajowe organy ochrony danych mają różne poglądy co do oceny dopuszczalności modelu „pay or ok”, ponieważ RODO wymaga zapewnienia podmiotom danych, o których zgody wnioskuje administrator, możliwości dokonania rzeczywistego wyboru między zaakceptowaniem lub odrzuceniem zgody.
Przykładowo austriacki organ ochrony danych uznaje, iż stosowanie modelu „pay or ok” nie będzie naruszać wymogu dobrowolności zgody, o ile wysokość żądanej przez wydawcę opłaty będzie „rozsądna”, a wydawca nie będzie miał wyłączności do treści lub usług ukrytych za banerem służącym do zbierania zgody. Podobnie na ten temat wypowiedziała się niemiecka Konferencja Niezależnych Urzędów ds. Ochrony Danych na poziomie federalnym oraz państw związkowych (Datenschutzkonferenz), zastrzegając, iż każdy przypadek wdrożenia takiego mechanizmu wymaga indywidualnej oceny. Natomiast holenderski organ nadzorczy odrzuca możliwość stosowania jakiegokolwiek tego rodzaju mechanizmu do zbierania zgód[2]. Wiele europejskich organów ochrony danych, w tym Prezes Urzędu Ochrony Danych Osobowych, nie zajęło jeszcze oficjalnych stanowisk co do oceny modelu „pay or ok” w świetle RODO, które byłyby publicznie dostępne.
Pod koniec stycznia 2024 r. hamburski organ nadzorczy z zakresu ochrony danych, wraz ze swoimi odpowiednikami w Norwegii i Holandii, zdecydował się wystąpić do Europejskiej Rady Ochrony Danych z wnioskiem o wydanie opinii co do stosowania modelu „pay or ok” przez duże platformy internetowe, aby ujednolicić praktykę krajowych organów ochrony danych co do sposobu oceny mechanizmu[3]. EROD powinna wydać swoją opinię w ciągu ośmiu tygodni od otrzymania wniosku organu, przy czym w razie potrzeby termin ten może jednak zostać przedłużony o kolejne sześć tygodni, co daje Radzie łącznie 14 tygodni na rozpatrzenie sprawy. Opinia ta będzie dotyczyć stosowania modelu „pay or ok” wyłącznie przez dostawców platform internetowych.
Niemniej jednak, niezależnie od prac nad powyższą opinią, EROD uzgodniła już 13.02.2024 r. na swoim 90. posiedzeniu plenarnym, iż w późniejszym czasie przygotuje i opublikuje szersze wytyczne dotyczące modeli stosowania mechanizmów „pay or ok” nie tylko przez duże platformy internetowe, ale przez każdego rodzaju wydawców serwisów internetowych[4].
Model „pay or ok” – co dalej?
Do momentu opublikowania przez EROD opinii ws. mechanizmu „pay or ok” wykorzystywanych przez dostawców dużych platform oraz uzupełniających ją wytycznych dotyczących stosowania tego modelu przez wydawców innego rodzaju serwisów internetowych, zgodność stosowania takiego mechanizmu z przepisami RODO jest niejasna. Wszyscy wydawcy, którzy rozważają teraz wprowadzenie podobnego mechanizmu w celu monetyzacji treści udostępnianych na swoich serwisach internetowych, powinni przeprowadzić i udokumentować analizę, w jaki sposób projektowane przez nich rozwiązanie zapewnia realizację wymogu dobrowolności zgody i innych obowiązków wynikających z rozporządzenia. najważniejsze znaczenie może mieć w szczególności ocena, czy proponowaną przez wydawcę alternatywę do wyrażenia zgody na stosowanie kodów śledzących w celach marketingowych można uznać za „rozsądną”.
Po opublikowaniu opinii oraz wytycznych EROD dot. modelu „pay or ok” konieczne będzie zbadanie przez dostawców platform internetowych oraz wydawców innych serwisów, czy rozwiązania przyjęte przez danego wydawcę odpowiadają wymogom wskazanym przez Radę.
[1] Można spotkać się również z innymi określeniami tego mechanizmu, np. „consent or pay”.
[2]
Websites moeten toegankelijk blijven bij weigeren tracking cookies | Autoriteit Persoonsgegevens, dostęp 6.04.2024 r.
[3] Request for an EDPB opinion on “consent or pay” https://www.datatilsynet.no/en/news/aktuelle-nyheter-2024/request-for-an-edpb-opinion-on-consent-or-pay/, dostęp 6.04.2024 r.; Abo-Modelle bei großen Online-Plattformen, https://datenschutz-hamburg.de/news/abo-modelle-bei-grossen-online-plattformen, dostęp 6.04.2024 r.
[4] EDPB. Minutes. 90th Plenary meeting 13 February 2024, in person. https://www.edpb.europa.eu/system/files/2024-03/20240213finalminutes90thplenarymeeting_public.pdf
