// Profipravo.cz / Monitoring 28.07.2024
Užívání tzv. modelu „consent or pay“
Evropský sbor pro ochranu osobních (EDPB) vydal stanovisko k užívání tzv. modelu „consent or pay“ („souhlas nebo platba“)
EDPB vydal stanovisko k užívání tzv. modelu „consent or pay“ („souhlas nebo platba“) EDPB zaujal negativní postoj k využívání modelu „consent or pay“ velkými online platformami, když ve svém stanovisku 08/2024 uvedl, že „ve většině případů nebude možné, aby velké online platformy splňovaly požadavky na platný souhlas, pokud konfrontují uživatele pouze s binární volbou mezi udělením souhlasu se zpracováním osobních údajů pro účely behaviorální reklamy a zaplacením poplatku.“
V rámci evropského online prostoru se lze ve zvyšující se míře setkat u určitých online služeb či webových stránek se zaváděním modelu získávání souhlasu se zpracováním osobních údajů, který se nazývá „consent or pay“ (případně „pay or okay“ či česky „zaplať nebo souhlas“). Tento model spočívá v tom, že je typicky uživateli určitých webových stránek znemožněna interakce s nimi, pokud nezvolí buď mezi udělením souhlasu se zpracováním svých osobních údajů (typicky za účelem cílené či behaviorální reklamy, k čemuž jsou využity například údaje o prohlížení webu a IP adresa uživatele) či mezi zaplacením určitého poplatku, ať již jednorázového či např. měsíčního.
Z pohledu GDPR vyvstává předně otázka, zdali je takový souhlas se zpracováním osobních údajů svobodný, neboť je třeba brát v potaz určité prvky, jako např. fakt, zde existuje výrazný nepoměr stran (online platforma vůči svému uživateli) či fakt, že uživateli může být, pokud tento neudělí požadovaný souhlas, způsobena újma (ta může spočívat v tom, že bude vystaven odepření služby, pokud neudělí souhlas se zpracováním osobních údajů, což bude rozhodné zejména v případech, kdy má služba významnou úlohu pro uživatele). V neposlední řadě je i nutné posoudit výši poplatku, který je uživateli účtován, aby nebyly jeho osobní údaje zpracovávány za účelem behaviorální reklamy. Tyto prvky mají zásadní vliv na posouzení, zdali byl udělený souhlas svobodný.
Důležitým aspektem je i to, zdali je souhlas dostatečně informovaný, neboť uživatel musí mít k dispozici informace o tom, jak bude s jeho údaji nakládáno. Tyto informace pak musí být natolik srozumitelné a jasné, neboť mnohdy je pro uživatele těžké si představit, o jaké zpracování osobních údajů, probíhající výhradně na pozadí, se jedná. Uživatel si často není vědom toho, že jeho osobní údaje o tom, jaké všechny webové stránky si prohlížel, jsou shromažďovány, tříděny a vyhodnocovány. Tento aspekt zvyšuje v očích Úřadu nutnost věnovat takovému zpracování osobních údajů zvýšenou pozornost, viz například materiál Úřadu ke Cookies.
Evropský sbor pro ochranu osobních (EDPB) přijal dne 17. dubna 2024 stanovisko 08/2024 týkající se platnosti souhlasu v kontextu modelu „consent or pay“ užívaných velkými online platformami.
Modelem „consent or pay“ pro získávání souhlasu se zpracováním osobních údajů se rozumí, dle tohoto stanoviska, „modely, v nichž správce nabízí subjektům údajů možnost volby mezi alespoň dvěma možnostmi za účelem získání přístupu k on-line službě, kterou správce poskytuje: subjekt údajů může 1) udělit souhlas se zpracováním svých osobních údajů pro určitý účel, nebo 2) rozhodnout o zaplacení poplatku a získat přístup k online službě, aniž by jeho osobní údaje byly za tímto účelem zpracovávány.“ Uvedené stanovisko EDPB se týkalo modelů, v nichž lze udělit souhlas se zpracováním osobních údajů pro účely behaviorální (někdy označované jako cílené) reklamy.
EDPB v této souvislosti uvedl ve svém stanovisku: „Je třeba dospět k závěru, že ve většině případů nebude možné, aby velké online platformy splňovaly požadavky na platný souhlas, pokud konfrontují uživatele pouze s binární volbou mezi udělením souhlasu se zpracováním osobních údajů pro účely behaviorální reklamy a zaplacením poplatku.
EDPB připomíná, že osobní údaje nelze považovat za obchodovatelné komodity, a velké online platformy by měly mít na paměti, že je třeba zabránit tomu, aby se základní právo na ochranu údajů přeměnilo na prvek, který musí subjekty údajů zaplatit. Proto by nabídka (pouze) placené alternativy služby, která zahrnuje zpracování pro účely behaviorální reklamy, neměla být pro správce standardní cestou vpřed. Naopak, při vývoji alternativy k verzi služby s behaviorální reklamou by měly velké online platformy zvážit poskytnutí „rovnocenné alternativy“, která nevyžaduje zaplacení poplatku (např. včetně jiné formy reklamy, která není behaviorální reklamou), subjektům údajů.
Pokud se rozhodnou poskytnout subjektům údajů „ekvivalentní alternativu“, která zahrnuje zaplacení poplatku, měli by správci zvážit nabídku další bezplatné alternativy bez behaviorální reklamy, např. formou reklamy zahrnující zpracování menších (nebo nulových) osobních údajů, s cílem zajistit skutečnou volbu a vyhnout se tomu, aby uživatelé měli možnost binární volby mezi zaplacením poplatku a souhlasem se zpracováním pro účely behaviorální reklamy. To je obzvláště důležitý faktor při posuzování určitých kritérií pro platný souhlas podle GDPR.“
Předsedkyně EDPB Anu Talus k tomuto mimo jiné uvedla: „On-line platformy by měly uživatelům poskytnout skutečnou možnost volby při používání modelů „consent or pay“. Modely, které dnes máme, obvykle vyžadují, aby jednotlivci buď poskytli všechna svá data nebo aby zaplatili. V důsledku toho většina uživatelů souhlasí se zpracováním [osobních údajů], aby mohli službu využít, a nerozumí všem důsledkům tohoto rozhodnutí. Správci by měli vždy dbát na to, aby se zabránilo přeměně základního práva na ochranu osobních údajů na prvek, který musí jednotlivci zaplatit. Jednotlivci by měli být plně informováni o ceně a důsledcích svých rozhodnutí.“
Úřad nad rámec uvedeného zároveň uvádí, že se stanovisko explicitně vyjadřuje toliko k velkým online platformám (které bez dalšího nelze zaměňovat s velmi velkými platformami, o kterých hovoří nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES), k jejichž určení poskytuje stanovisko vodítka a ponechává teprve aplikační praxi posouzení toho, které subjekty budou za velké online platformy považovány. Mezi tato vodítka patří např. postavení platformy na trhu, množství jejích uživatelů či to, zdali platforma provádí rozsáhlé zpracování osobních údajů.
Stanovisko se pak zabývá prvky, které je nutno posoudit, aby mohl souhlas se zpracováním osobních údajů je v rámci modelu „consent or pay“ být považován za platně udělený. Stanovisko EDPB nenutí velké online platformy nabízet své služby zdarma a ani v principu tento model získávání souhlasu se zpracováním osobních údajů nezakazuje (takovou pravomoc EDPB ostatně ani nemá), toliko vyjádřilo mantinely, v rámci kterých lze tento model užívat ze strany velkých online platforem, přičemž se opírá o judikaturu Soudního dvora Evropské unie (rozsudek Soudního dvora Evropské unie C‑252/21 Bundeskartellamt).
Pokud se ve veřejném prostoru objevily pochybnosti, zda EDPB pro vydání stanoviska 08/2024 zvolil vhodný postup, neboť neproběhla veřejná konzultace, do níž by se mohli zapojit provozovatelé online služeb, je nutno uvést, že stanovisko podle čl. 64 odst. 2 GDPR je vydáváno na návrh, přičemž EDPB nemá možnost uvážení, zda stanovisko vydá. Rychlost procedury neumožňuje konání veřejné konzultace, neboť procedura musí být ukončena ve lhůtě podle čl. 64 odst. 3 GDPR. Ovšem vzhledem k tomu, že otázky, které byly stručně zpracovány stanoviskem EDPB 08/2024, budou v budoucnu podrobněji rozpracovány v připravovaných pokynech na stejné téma, otvírá se možnost uplatnění připomínek na úrovni EDPB, včetně účasti ve veřejné konzultaci.
ÚOOÚ připomíná, že EDPB je samostatným orgánem Evropské unie. K další konkretizaci právního rámce ochrany osobních údajů vyloženého stanoviskem 08/2024 bude docházet dozorovou a aplikační činností jednotlivých dozorových úřadů, kterou je třeba dále sledovat.
Závěrem je třeba upřesnit k nedávno publikované zprávě Evropské komise Preliminary findings to Meta over its “Pay or Consent” model for breach of the Digital Markets Act, že jakkoliv se modelem „consent or pay“ zabývá Evropská komise, není to ve vztahu k tomu, zdali je takový model v souladu s GDPR, ale ve vztahu k nařízení Evropského parlamentu a Rady (EU) 2022/1925 ze dne 14. září 2022 o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví a o změně směrnic (EU) 2019/1937 a (EU) 2020/1828 (nařízení o digitálních trzích). V této souvislosti Evropská komise předběžně shledala, že model „pay or consent“ využívaný společností Meta, není v souladu s tímto nařízením o digitálních trzích.
(zdroj zprávy naleznete zde)
Autor: tisk. zpráva ÚOOÚ