Czy modele zgody lub płacy są zgodne z RODO? Nowa opinia EROD wyjaśnia
17 kwietnia 2024 r. Europejska Rada Ochrony Danych (EROD) wydała Opinię 08/2024. Dotyczy ważności zgody w modelach „pay or ok” stosowanych przez duże platformy internetowe w reklamie behawioralnej.
O opinię zwróciły się holenderskie, norweskie i niemieckie organy nadzorcze. Ma ona na celu wyjaśnienie, na jakich warunkach można wdrożyć te modele.
Co to jest model płatności lub zgody?
Model „pay or ok” to model biznesowy, w którym użytkownicy mają do wyboru uiszczenie opłaty lub wyrażenie zgody na przetwarzanie danych.
Niedawno EROD wypowiedziała się na temat zgodności tego modelu z zasadami RODO w zakresie reklamy behawioralnej prowadzonej przez duże platformy internetowe.
Reklama behawioralna to sposób wyświetlania użytkownikom reklam na podstawie ich aktywności online. Opiera się na śledzeniu tego, co użytkownicy robią w internecie. Informacje te są wykorzystywane do tworzenia profilu zainteresowań i preferencji użytkownika. Dzięki temu reklamy mogą być bardziej precyzyjne, zwiększając prawdopodobieństwo zaangażowania i konwersji.
W czym tkwi problem?
EROD stwierdza, że większość modeli „zgoda lub zapłata” stosowanych przez duże platformy internetowe nie jest zgodna z wymogami RODO. Rada wzywa do indywidualnej oceny każdego przypadku i apeluje do organów nadzorczych o egzekwowanie zgodności z RODO. Zapewnia tym samym, że ochrona danych pozostanie prawem podstawowym, a nie towarem.
Główna niezgodności modeli „zapłaty lub zgody” z RODO wynika z wymogu dobrowolnego wyrażenia zgody (art. 4 pkt 11 RODO). Artykuł ten definiuje zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Osoba, której dane dotyczą, wyraża ją w formie oświadczenia lub wyraźnego działania, przyzwalając na przetwarzanie dotyczących jej danych osobowych.
Jeśli użytkownik musi wybierać między zapłatą a zgodą, zgoda nie jest naprawdę dobrowolna, co narusza zasady RODO.
Jak spełnić wymogi RODO w modelu „zgoda lub zapłata”?
Modele „zgoda lub zapłata” mogą być wdrażane przez duże platformy internetowe w sposób, który stanowi ważną zgodę tylko w bardzo szczególnych okolicznościach.
Zgodnie z opinią EROD 08/2024, modele te muszą zapewniać, że zgoda nie jest wymuszona groźbą opłaty lub wykluczenia z usługi, co mogłoby oznaczać brak rzeczywistego wyboru.
Aby zgoda była ważna, muszą być spełnione następujące warunki:
- swobodnie wyrażona zgoda – nałożona opłata, jeśli w ogóle, nie powinna być tak wysoka, aby uniemożliwić osobie, której dane dotyczą, dokonanie swobodnego wyboru.
- szczegółowość: osoby, których dane dotyczą, powinny mieć możliwość wyrażenia zgody na określone cele przetwarzania danych, a nie na wybór typu „wszystko albo nic”.
- świadoma zgoda: informacje powinny pomóc użytkownikowi zrozumieć, w jaki sposób dane są przetwarzane.
- konkretna zgoda: zgoda musi być udzielona w jednym lub większej liczbie konkretnych celów.
- równoważna alternatywa: jeśli pobierana jest opłata za alternatywę bez reklamy behawioralnej, należy zaoferować kolejną bezpłatną alternatywę, aby uniknąć przedstawiania użytkownikom binarnego wyboru.
- zgodność z zasadami RODO: musi przestrzegać wszystkich zasad RODO, w tym ograniczenia celu, minimalizacji danych, uczciwości i rozliczalności.
- ocena nierównowagi sił: administrator musi ocenić nierównowagę sił między osobą, której dane dotyczą, a administratorem, biorąc pod uwagę takie czynniki, jak pozycja rynkowa, blokada lub efekty sieciowe oraz zależność od usługi.
Dlaczego dane osobowe nie powinny być towarem?
Dane osobowe nie powinny być traktowane jak towar, a prywatność nie powinna stanowić odpłatnej funkcjonalności. W związku z tym, administratorzy danych nie powinni oferować jedynie płatnej alternatywy dla usługi, która obejmuje przetwarzanie na potrzeby reklamy behawioralnej.
Zamiast tego duże platformy internetowe powinny rozważyć zapewnienie osobom, których dane dotyczą, „równoważnej alternatywy”, która nie wymaga uiszczenia opłaty.
Privacy by design to podejście, które pozwala organizacjom przygotować niezawodne i zgodne z przepisami systemy i procedury. Warto zapewnić odpowiednie zasady ochrony danych na początkowym etapie każdego projektu, aby zrównoważyć cele biznesowe i wymogi regulacyjne.
Nasz zespół jest gotowy do pomocy. Skontaktuj się z nami, aby uzyskać wsparcie w zakresie wdrażania modeli zgodnych z RODO i innych regulacji dotyczących ochrony danych.
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com