Dziś EDPB wydała swoją pierwszą decyzję w sprawie "Pay or Okay" w odniesieniu do dużych platform internetowych, takich jak Instagram i Facebook, o czym po raz pierwszy poinformował portal Politico. Decyzja ta zakazuje Meta korzystania z niezgodnego z prawem wniosku o zgodę na przetwarzanie danych osobowych. Wygląda na to, że Meta nie ma już możliwości dalszego wykorzystywania danych osobowych do celów reklamowych w UE bez mechanizmu zgody, który byłby zgodny z prawem.
Opinia w sprawie dużych platform internetowych. Jak argumentowano w poprzednich sprawach wniesionych przez noyb, wydaje się, że EDPB postępowała zgodnie z jedynym logicznym rozumieniem terminu "dobrowolnie udzielona zgoda" podczas analizy systemu "Pay or Okay" firmy Meta, który obciążał użytkowników kwotą ponad 250 euro rocznie za korzystanie z Instagrama i Facebooka, jeśli nie wyrazili oni "dobrowolnej" zgody na wykorzystanie ich danych osobowych. Politico cytuje EDPB, która stwierdziła, że"w większości przypadków duże platformy internetowe nie będą w stanie spełnić wymogów dotyczących ważnej zgody, jeśli będą stawiać użytkowników przed binarnym wyborem między wyrażeniem zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej a uiszczeniem opłaty".
Max Schrems:"Ogólnie rzecz biorąc, Meta nie ma już opcji w UE. Musi teraz dać użytkownikom prawdziwą opcję tak/nie dla spersonalizowanych reklam. Nadal może pobierać opłaty od witryn za zasięg, angażować się w reklamy kontekstowe i tym podobne - ale śledzenie ludzi pod kątem reklam wymaga wyraźnego "tak" ze strony użytkowników"
Dyskusja stwierdzona - potrzebne dowody. Dzisiejsza opinia EDPB będzie musiała zostać przeanalizowana bardziej szczegółowo, gdy zostanie opublikowana w całości. Prawdopodobnie będzie to tylko punkt wyjścia do szerszej dyskusji na temat "Pay or Okay" w różnych kontekstach, biorąc pod uwagę, że EROD zamierza wydać dalsze wytyczne jeszcze w tym roku, które wykraczają poza "duże platformy internetowe". Zasadniczą kwestią pozostaje to, czy model "Pay or Okay" może spełnić wymóg prawny, zgodnie z którym zgoda musi być "udzielona dobrowolnie", a "rzeczywiste życzenia" użytkowników są respektowane. W końcu zgoda na przetwarzanie danych osobowych jest decyzją o rezygnacji z podstawowego prawa do ochrony danych. Zazwyczaj prawa podstawowe nie mogą być "sprzedawane" lub przyznawane jedynie za opłatą. EDPB do tej pory w dużej mierze podejmowała decyzje w próżni, bez niezależnych i kompleksowych dowodów na to, w jaki sposób model "Pay or Okay" ingeruje w rzeczywisty i wolny wybór użytkowników.
Max Schrems, przewodniczący noyb: "Cieszymysię, że EROD rozpoczęła bardziej zniuansowaną dyskusję na temat "pay or okay" i przynajmniej wyjaśniła, że duże platformy nie mogą korzystać z "pay or okay". Obawiamy się jednak, że dzisiejsza pierwsza opinia jest raczej ostrożna i oparta na ograniczonych faktach. Gdy wszystkie fakty zostaną przedstawione, jesteśmy przekonani, że "Pay or Okay" zostanie uznane za niezgodne z prawem we wszystkich przypadkach. Wiemy, że "Pay or Okay" zmienia wskaźniki zgody z około 3% do ponad 99% - jest więc tak daleki od "dobrowolnie wyrażonej" zgody, jak Korea Północna od demokracji. Kluczowe znaczenie ma uzyskanie wszystkich istotnych liczb dla dalszych decyzji wykraczających poza Meta i większe platformy"
Potrzebna trzecia opcja. EDPB wspomniała również o możliwości wprowadzenia trzeciej opcji poza "Pay or Okay", która do tej pory była w dużej mierze ignorowana przez branżę. W rzeczywistości istnieje wiele sposobów zarabiania na stronie internetowej, takich jak reklama kontekstowa, lokowanie produktu, płatne treści lub modele freemium, w których niektóre treści są dostępne tylko za opłatą. Podczas gdy branża stara się ograniczyć dyskusję do dwóch opcji ("pay" lub "okay"), EDPB podkreśliła, że RODO nie ogranicza innych sposobów finansowania produktów - nawet jeśli mogą one być mniej opłacalne.
Pay or Okay to koniec "dobrowolnie udzielonej" zgody. Jak ostrzegaliśmy w ostatnich miesiącach, "Pay or Okay" skutkuje ogromnymi kosztami dla konsumentów (35 263,20 euro dla czteroosobowej rodziny), które znacznie przewyższają obecne przychody wydawców z reklam, które często wynoszą zaledwie kilka centów. Obecny średni przychód z reklam programatycznych w UE wynosi 1,41 euro na użytkownika - na wszystkich stronach internetowych miesięcznie. W krajach takich jak Austria, Niemcy, Francja, Hiszpania czy Włochy odwiedzenie 100 najpopularniejszych stron internetowych może już kosztować ponad 1500 euro rocznie, jeśli użytkownik nie wyrazi zgody na śledzenie. W zeszłotygodniowym materiale wideo w tle podkreśliliśmy również problematyczną dynamikę podejmowania decyzji "Pay or Okay", która zmienia "wolne życzenie" użytkowników z 3%, którzy chcą spersonalizowanych reklam, do nawet 99,9%, którzy (niechętnie) klikają "zgadzam się", jeśli alternatywą jest wysoki rachunek.
Max Schrems:"Kiedy ponad 90% użytkowników zgadza się na coś, czego nie chce, nie potrzeba prawnika, aby zobaczyć, że nie jest to "dobrowolnie udzielona" zgoda. W rzeczywistości, 5 lat po wejściu w życie RODO, jest to tylko najnowsza "sztuczka" mająca na celu podważenie prawa UE lub przynajmniej opóźnienie jego przestrzegania o kilka kolejnych lat. Wysoce problematyczne jest to, że władze nie zajęły jeszcze jasnego stanowiska w tej sprawie. W sprawach, które wnieśliśmy w Austrii lub Niemczech, widzimy raczej, że władze przymykają oko na "Pay or Okay", ponieważ po raz pierwszy wprowadziły je media informacyjne, którym nie chcą przeszkadzać - mimo że prawo jest takie samo dla wszystkich"
Kontekst. Do czasu wejścia w życie RODO w dniu 25 maja 2018 r. Meta wykorzystywała "zgodę" na mocy art. 6 ust. 1 lit. a) RODO jako podstawę prawną przetwarzania danych osobowych użytkowników, na przykład w celach reklamowych. Zgodnie z RODO zgoda musi być konkretna, świadoma, jednoznaczna i udzielona dobrowolnie. Meta obawiała się, że danie użytkownikom takiej opcji tak/nie ograniczy ich możliwości zarabiania pieniędzy w UE, więc o północy 25 maja 2018 r. Meta zaczęła argumentować, że wyświetlanie reklam było częścią umowy z użytkownikiem, korzystając z art. 6 ust. 1 lit. b) RODO. Zostało to uznane za niezgodne z prawem przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) i Europejską Radę Ochrony Danych (EROD) w 2023 roku. W 2023 r. Meta krótko argumentowała, że ma "uzasadniony interes" w przetwarzaniu danych osobowych do celów reklamowych na podstawie art. 6 ust. 1 lit. f) RODO, dopóki nie zaczęła powracać do "zgody" na podstawie art. 6 ust. 1 lit. a) RODO - prosząc użytkowników o wyrażenie zgody lub uiszczenie opłaty w wysokości do 20,99 EUR łącznie za Instagram i Facebook.
Norweski, holenderski i hamburski organ ochrony danych zwrócił się do EDPB, która wydała już decyzję w sprawie "Pay or Okay". Wszystkie te próby obejścia prawa odbywały się przy aktywnym wsparciu Irlandzkiej Komisji Ochrony Danych (DPC), jako głównego regulatora unijnej siedziby firmy Meta w Irlandii. Wszystkie te "porozumienia" z irlandzkim organem regulacyjnym zostały później uznane za niezgodne z prawem przez EDPB lub TSUE.