Stosowanie mechanizmu „Consent or Pay” przez dostawców dużych platform internetowych pod lupą EROD

traple.pl 5 miesięcy temu

17 kwietnia 2024 r. EROD opublikowała długo wyczekiwaną opinię na temat dopuszczalności wykorzystywania mechanizmów „Consent or Pay” przez dostawców dużych platform internetowych. W artykule przedstawiam stanowisko EROD dotyczące zgodności takich rozwiązań z RODO oraz związane z nim kontrowersje.

Istota mechanizmu „Consent or Pay”

W mechanizmie „Consent or Pay”[1] dostawca platformy internetowej, który korzysta z rozwiązań przypominających cookie banery, stawia użytkowników przed wyborem co do preferencji dalszego korzystania z usługi. Odbiorca usługi, aby móc z niej dalej korzystać musi zadecydować:

  • czy udzielić zgody na wykorzystywanie kodów śledzących i przetwarzanie jego danych osobowych w celach marketingowych albo
  • czy uiścić drobną opłatę pieniężną za dostęp do treści bez otrzymywania spersonalizowanych reklam.

Rozwiązania tego typu są powszechnie stosowane przez wielu wydawców serwisów internetowych jako alternatywne źródło monetyzowania udostępnianych treści. Ich dopuszczalność była już oceniana przez organy ochrony danych w znacznej części państw EOG. Szerzej na ten temat piszę w artykule pt. „Mechanizm „ Pay or ok” w świetle RODO”.

Stosowanie mechanizmu „Consent or Pay” przez dostawców dużych platform internetowych wzbudził szerokie zainteresowanie organów ochrony danych, po tym jak takie rozwiązanie wdrożyła Meta na platformach Facebook i Instagram. Organy ochrony danych osobowych w Norwegii, Holandii oraz w Hamburgu w związku z powziętymi wątpliwościami co do dobrowolności zgody udzielanej w takim modelu przez podmiot danych zawnioskowały w trybie art. 64 RODO do Europejskiej Rady Ochrony Danych o wydanie opinii ws. ważnej zgody w kontekście modeli „Consent or Pay” wdrożonych przez duże platformy internetowe. EROD opracowała i przyjęła żądaną przez organy opinię 17 kwietnia 2024 r.

Opinia 08/2024 EROD ws. ważnej zgody w kontekście modeli „Consent or Pay” stosowanych przez duże platformy internetowe

W ocenie EROD w większości przypadków duże platformy internetowe nie będą w stanie spełnić wymagań dotyczących ważnej zgody, jeżeli będą stawiać użytkowników przed binarnym wyborem między wyrażeniem zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej a uiszczeniem opłaty. Zdaniem Rady dostawcy takich platform powinni zapewnić odbiorcom swoich usług możliwość wybrania „darmowej alternatywy bez reklam behawioralnych” (Free Alternative Without Behavioural Advertising, dalej: „FAWBA”), a nie proponować im wyłącznie płatną alternatywę w zamian za niewykorzystywanie ich danych do personalizacji reklam.

Adresatem powyższego stanowiska EROD są dostawcy dużych platform internetowych. Autorzy opinii nie przedstawiają jednoznacznych i wiążących kryteriów, na podstawie których daną platformę można byłoby zakwalifikować jako „dużą”. Zalecają jedynie, iż taka ocena powinna mieć kazuistyczny charakter, a na jej potrzeby można wziąć pod uwagę takie czynniki jak: przyciąganie przez platformę dużej liczby podmiotów danych, pozycję dostawcy platformy (administratora) na rynku, przetwarzanie danych na szeroką skalę w rozumieniu RODO. EROD wskazuje przy tym na otwarty charakter katalogu czynników, który należy uwzględnić przy ocenie, czy dana platforma jest „dużą platformą”. Ponadto sygnalizuje, iż wybrane elementy mogą być bardziej istotne dla niektórych administratorów niż dla innych. Jako przykłady dużych platform EROD wskazuje dostawców bardzo dużych platform internetowych (VLOPs), o których mowa w AUC[2], oraz strażników dostępu (gatekeepers), o których mowa w przepisach ARC[3].

Po przedstawieniu zakresu przedmiotowego i podmiotowego opinii, EROD osadza swoje stanowisko w szerszym kontekście prawnym, odnosząc się w szczególności do przepisów RODO, ARC oraz wyroku TSUE ws. Meta Platforms.

W dalszej części opinii, EROD wyraźnie przestrzega dostawców dużych platform internetowych przed domyślnym stosowaniem wyłącznie płatnej alternatywy jako jedynego możliwego wyboru dla użytkowników, którzy nie chcą wyrazić zgody na przetwarzanie danych do celów reklamy behawioralnej. Zamiast tego administratorzy powinni rozważyć zapewnienie podmiotom danych darmowej, równoważnej alternatywy. Jako przykłady FAWBA autorzy opinii wskazują udostępnienie użytkownikom wersji platformy z inną formą reklamy, która obejmuje przetwarzanie mniejszej ilości (lub wcale) danych osobowych, np. reklamą kontekstową lub ogólną lub reklamą opartą na tematach wybranych przez odbiorcę usługi (pkt 75 opinii). W ocenie Rady platforma będzie zapewniała darmową alternatywę bez reklam behawioralnych, o ile wdrożone rozwiązanie umożliwi użytkownikom dokonanie prawdziwego wyboru co do dalszego sposobu korzystania z usługi.

Zdaniem EROD oceniając, czy wdrożony przez dostawcę dużej platformy mechanizm „Consent or Pay” oraz zaproponowane przez niego alternatywy do korzystania z usługi bez przetwarzania danych na potrzeby reklamy behawioralnej spełniają wymóg dobrowolności zgody w rozumieniu RODO, należy wziąć pod uwagę następujące czynniki:

  • Negatywne skutki dla podmiotów danych w razie nieudzielenia lub wycofania zgody. Jeśli osoba, której dane dotyczą, odmówi wyrażenia zgody na przetwarzanie danych do celów reklamy behawioralnej i nie ma zapewnionych innych, bezpłatnych alternatyw umożliwiających jej dostęp do tej samej usługi, poniesie konsekwencje finansowe, ponieważ będzie musiała uiścić opłatę, aby móc korzystać z usługi. Z kolei jeżeli osoba, której dane dotyczą, odmówi wyrażenia zgody lub wycofa zgodę i nie uiści wymaganej opłaty, nie będzie mogła korzystać z usługi, co może stanowić dla niej szkodę. EROD wskazuje, iż takie szkody mogą przybierać różną postać, np. utrudnianie interakcji społecznych lub utrudnianie możliwości zawodowych. Nałożenie opłat lub złożonych procesów płatności ma nieproporcjonalny wpływ na użytkowników, zwłaszcza ze względu na efekt sieciowy oraz uzależnienie od usług dostawcy, ponieważ użytkownicy ryzykują utratę zgromadzonych danych i kontaktów w wyniku zaprzestania korzystania z usługi, która skupia popularne lub istotne dla nich treści (pkt 87-95 opinii).
  • Brak równowagi sił. EROD wskazuje, iż dominująca pozycja dostawców dużych platform, efekt sieciowy i zależność użytkowników od takich platform może utrudnić lub uniemożliwić wybranie innej usługi osobom fizycznym, które nie chcą, ani płacić za dostęp do platformy bez przetwarzania ich danych osobowych na potrzeby wyświetlania im reklamy behawioralnej, ani zgadzać się na wykorzystywanie ich danych w takich celach. Zdaniem EROD struktura odbiorców platformy również odgrywa kluczową rolę dla oceny dopuszczalności modelu „Consent or Pay”, zwłaszcza w przypadku grup szczególnie wrażliwych, takich jak dzieci. Platformy skierowane głównie do takich grup demograficznych lub często przez nie odwiedzane zwiększają nierównowagę sił między administratorem a osobą, której dane dotyczą. Chociaż administratorzy danych mogą twierdzić, iż użytkownicy mają możliwość powstrzymania się od korzystania z usług lub szukania alternatyw, w ocenie EROD praktyczne ograniczenia i brak porównywalnych usług bez inwazyjnego przetwarzania danych podważają to stanowisko.
  • Zapewnienie równoważnej alternatywy. W ocenie EROD równoważność oznacza zagwarantowanie, iż alternatywne wersje usługi oferują porównywalną wartość dla jej użytkowników. jeżeli jednej z wersji brakuje podstawowych funkcji lub jakości, użytkownicy nie mają prawdziwego wyboru. Dodawanie dodatkowych opcji do alternatyw musi być traktowane ostrożnie, aby zachować prawdziwą równoważność i utrzymać zdolność użytkowników do podejmowania świadomych decyzji. Tym samym, o ile wersja platformy, w ramach której nie dochodzi do przetwarzania danych użytkowników na potrzeby reklamy behawioralnej, różni się od wersji usługi, w ramach której dochodzi do takiego wykorzystania danych jedynie w niezbędnym zakresie wynikającym z braku możliwości przetwarzania przez administratora danych osobowych do celów reklamy behawioralnej, można ją zasadniczo uznać za równoważną. Co istotne EROD zaleca, iż wersja platformy bez reklam behawioralnych nie powinna, co do zasady, uwzględniać również tych operacji danych, które byłyby przeprowadzane jako warunek wstępny przetwarzania do celów reklamy behawioralnej, o ile nie są one niezbędne np. do zapewnienia bezpieczeństwa usługi (pkt 119-129 opinii).
  • Odpowiednią wysokość opłaty. EROD podkreśla, iż dane osobowe nie mogą być traktowane jako towar. Opłata za korzystanie z dużej platformy internetowej w wersji usługi, w ramach której nie dochodzi do przetwarzania danych na potrzeby reklamy behawioralnej, może być rozważana w pewnych okolicznościach. Administratorzy jednak muszą ocenić jej stosowność indywidualnie dla wszystkich przypadku, upewniając się, iż nie ogranicza ona autonomii osób, których dane dotyczą, ani nie wymusza zgody. EROD uważa, iż organy ochrony danych (przy ew. współpracy z innymi organami) powinny oceniać wpływ opłat na swobodę wyboru osób, których dane dotyczą.
  • Szczegółowość. Zdaniem EROD szczegółowość zgody ma najważniejsze znaczenie dla uznania jej za udzieloną dobrowolnie, zgodnie z RODO. Oznacza to, iż osoby, których dane dotyczą, muszą mieć możliwość wyrażenia zgody na poszczególne cele przetwarzania danych indywidualnie, a nie zbiorczo. Na przykład w modelach, w których wymagana jest zgoda lub płatność, użytkownicy powinni mieć możliwość wyboru konkretnych celów przetwarzania danych, na które wyrażają zgodę. EROD podkreśla, iż bez tej szczegółowości zgoda prawdopodobnie nie zostanie udzielona dobrowolnie. Ważne jest, aby platformy wyraźnie rozróżniały cele przetwarzania danych, w tym rozróżnienie między podstawowymi funkcjami usługowymi a reklamą behawioralną. To rozróżnienie pomaga zagwarantować, iż zgoda jest zarówno świadoma, jak i konkretna.

Ponadto, administratorzy zarządzający dużymi platformami, oceniając to, czy zgoda użytkownika udzielona poprzez mechanizm „Consent or Pay” spełnia pozostałe wymogi ważnej zgody, powinni uwzględnić:

  • Świadomość zgody. EROD zwraca uwagę na niezbędność zachowania wymogu świadomości zgody przez dostawców dużych platform, którzy wdrażają mechanizm „Consent or Pay”. Rada przypomina, iż administratorzy stosujący takie rozwiązania muszą zapewnić jasne, dostępne informacje przed uzyskaniem zgody, aby umożliwić osobom, których dane dotyczą, podejmowanie świadomych decyzji. Treść i sposób prezentacji informacji powinny być wystarczająco szczegółowe i zrozumiałe, umożliwiając osobom, których dane dotyczą, pełne zrozumienie konsekwencji ich zgody, szczególnie w scenariuszach obejmujących złożone wykorzystanie danych, takie jak reklama behawioralna.
  • Zgoda jest jednoznacznym wyrażeniem woli. W ocenie EROD duże platformy internetowe powinny uważnie projektować sposób, w jaki osoby, których dane dotyczą, są proszone o wyrażenie zgody w modelu „Consent or Pay”. Gdy użytkownik wyraża zgodę na wykorzystanie jego danych w określonym celu w zamian za bezpłatny dostęp do platformy, należy uznać, iż użytkownik wyraża zgodę wyłącznie na te czynności przetwarzania, mając na uwadze wymogi dotyczące konkretności zgody. Aby zgoda mogła zostać uznana za wyraźnie udzieloną na inne cele, cele te powinny zostać aktywnie wybrane przez użytkownika Według EROD dostawcy dużych platform nie mogą stosować na planszach służących do zbierania oświadczeń użytkowników w ramach mechanizmu „Consent or Pay” niejednoznacznych sformułowań, takich jak „po prostu kontynuuj” lub „kontynuuj bez płatności”.
  • Konkretność zgody. EROD wskazuje, iż duże platformy internetowe powinny precyzyjnie zdefiniować i ograniczyć cele przetwarzania, dla których wymagana jest zgoda w ramach mechanizmu „Consent or Pay”. Duże platformy internetowe powinny oceniać i dokumentować indywidualnie dla wszystkich przypadku, czy dostarczanie reklam behawioralnych wiąże się dla nich z przetwarzaniem danych osobowych w różnych celach, i wymagać odrębnych zgód na te cele.
  • Wycofanie zgody. Zdaniem EROD w kontekście mechanizmu „Consent or Pay” najważniejsze jest, aby osoby, których dane dotyczą, były wyraźnie informowane o tym, w jaki sposób mogą wycofać swoją zgodę, bez automatycznego kierowania ich do płatnej subskrypcji. Wycofanie zgody powinno skutkować tym, iż użytkownikowi ponownie przedstawia się pierwotne opcje, umożliwiając mu wybór między wyrażeniem zgody na reklamę behawioralną, wyborem płatnej subskrypcji lub wyborem bezpłatnej alternatywy bez reklamy behawioralnej.
  • Odświeżenie zgody. EROD stoi na stanowisku, iż dostawcy dużych platform internetowych powinni zwracać się z prośbą o odnowienie zgody do użytkowników, którzy zdecydowali się korzystać z darmowej wersji usługi w zamian za przetwarzanie ich danych na potrzeby reklamy behawioralnej, np. w ciągu roku od momentu wyrażenia zgody.

Kontrowersje wokół Opinii 8/2024 EROD

Opinia EROD ws. wykorzystania mechanizmu „Consent or Pay” przez dostawców dużych platform internetowych wzbudza kontrowersje. Szczególnie komentowane jest wprowadzenie przez EROD „bezpłatnej alternatywy bez reklamy behawioralnej” (FAWBA) jako niemal obowiązkowego warunku uzyskania ważnej zgody przez dostawców dużych platform internetowych, którzy chcą korzystać z tego rodzaju rozwiązań. Zalecenie to wydaje się nie mieć oparcia w konkretnych danych lub analizach wykazujących jego konieczność, zwłaszcza gdy (podawana przez EROD jako przykład takiej bezpłatnej alternatywy) reklama kontekstowa może nie zapewniać zrównoważonego modelu przychodów dla wszystkich dostawców.

Wątpliwości wywołuje także zakres podmiotowy opinii ze względu na niejasne kryteria uznania danej platformy internetowej za dużą i wprowadzenie niejako tylnymi drzwiami nowej koncepcji „dużych platform internetowych”. Co istotne, nie ma ona swojego odpowiednika w przepisach AUC i ARC, które określają zasady świadczenia usług na europejskim rynku cyfrowym. W tym kontekście szczególnie problematyczne jest posłużenie się przez EROD przesłanką przetwarzania danych osobowych „na dużą skalę” w rozumieniu RODO, ponieważ rozporządzenie nie określa, w jakich sytuacjach dochodzi do takich operacji na danych. Grupa Robocza Art. 29 wskazuje, aby przy ustalaniu, czy przetwarzanie odbywa się na dużą skalę, wziąć pod uwagę w szczególności następujące czynniki:

  • liczba osób, których dane dotyczą – jako konkretna liczba lub jako odsetek odpowiedniej populacji;
  • ilość danych i/lub zakres różnych przetwarzanych danych;
  • czas trwania lub trwałość przetwarzania danych;
  • zasięg geograficzny przetwarzania danych[4].

Biorąc pod uwagę cel oraz zakres działania typowych platform internetowych, można uznać, iż znaczna część ich dostawców będzie przetwarzała dane na szeroką skalę. W konsekwencji istnieje ryzyko, iż organy nadzorcze o szczególnie aktywistycznym podejściu do wykładni przepisów o ochronie danych osobowych mogą uznać, iż zalecenia EROD znajdą zastosowanie nie tylko do największych platform na rynku, uznanych przez Komisję Europejską jako „bardzo duże platformy internetowe” w rozumieniu AUC lub „strażnicy dostępu” w rozumieniu ARC, ale także do platform o mniejszej liczbie użytkowników.

Podsumowanie

EROD wymaga od dostawców dużych platform internetowych zapewnienia użytkownikom dodatkowej bezpłatnej opcji bez reklamy behawioralnej zamiast ograniczonego wyboru pomiędzy odpłatnym korzystaniem z usługi a zgodą na przetwarzanie danych na potrzeby personalizacji reklam.

Zakres omawianej opinii EROD jest ograniczony wyłącznie do stosowania mechanizmu „Consent or Pay” przez dostawców dużych platform internetowych, w ramach których użytkownicy są proszeni o wyrażenie zgody na przetwarzanie danych do celów reklamy behawioralnej[5]. Należy jednak wskazać, iż w lutym 2024 r. EROD zapowiedziała wydanie odrębnych ogólnych wytycznych dotyczących stosowania przez mechanizmu „Consent or Pay” przez innych wydawców serwisów internetowych[6]. Opinia 08/2024EROD może stanowić sygnał co do kształtu przyszłego stanowiska Rady.

Opinia 08/2024 EROD ws. ważnej zgody w kontekście modeli „Consent or Pay” wdrożonych przez duże platformy internetowe jest dostępna tutaj:

[1] Mechanizm ten określany jest także jako „Pay or ok”.

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE. L. z 2022 r. Nr 277, str. 1 z późn. zm.).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych) (Dz. U. UE. L. z 2022 r. Nr 265, str. 1)

[4] https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

[5] Warto jednak wskazać, iż już na początku opinii EROD wskazuje, iż niektóre z wyrażonych w opinii (niesprecyzowanych) rozważań mogą okazać się przydatne bardziej ogólnie do stosowania koncepcji zgody w kontekście modeli „Consent or Pay” (pkt 31). Wydaje się zatem prawdopodobne, iż jakaś część stanowiska EROD zostanie przeniesiona do wytycznych Rady dotyczących stosowania mechanizmu „Consent or Pay” przez innych wydawców niż dostawcy dużych platform internetowych.

[6] EDPB. Minutes. 90th Plenary meeting 13 February 2024, in person. https://www.edpb.europa.eu/system/files/2024-03/20240213finalminutes90thplenarymeeting_public.pdf

Idź do oryginalnego materiału