IT / e-commerce /

Czy modele zgody lub płacy są zgodne z RODO? Nowa opinia EROD wyjaśnia

17 kwietnia 2024 r. Europejska Rada Ochrony Danych (EROD) wydała Opinię 08/2024. Dotyczy ważności zgody w modelach „pay or ok” stosowanych przez duże platformy internetowe w reklamie behawioralnej.

O opinię zwróciły się holenderskie, norweskie i niemieckie organy nadzorcze. Ma ona na celu wyjaśnienie, na jakich warunkach można wdrożyć te modele.

EROD stwierdziła, że większość modeli "zgoda lub zapłata" nie spełnia wymogów RODO.

Co to jest model płatności lub zgody?

Model „pay or ok” to model biznesowy, w którym użytkownicy mają do wyboru uiszczenie opłaty lub wyrażenie zgody na przetwarzanie danych.

Niedawno EROD wypowiedziała się na temat zgodności tego modelu z zasadami RODO w zakresie reklamy behawioralnej prowadzonej przez duże platformy internetowe.

Reklama behawioralna to sposób wyświetlania użytkownikom reklam na podstawie ich aktywności online. Opiera się na śledzeniu tego, co użytkownicy robią w internecie. Informacje te są wykorzystywane do tworzenia profilu zainteresowań i preferencji użytkownika. Dzięki temu reklamy mogą być bardziej precyzyjne, zwiększając prawdopodobieństwo zaangażowania i konwersji.

W czym tkwi problem?

EROD stwierdza, że większość modeli „zgoda lub zapłata” stosowanych przez duże platformy internetowe nie jest zgodna z wymogami RODO. Rada wzywa do indywidualnej oceny każdego przypadku i apeluje do organów nadzorczych o egzekwowanie zgodności z RODO. Zapewnia tym samym, że ochrona danych pozostanie prawem podstawowym, a nie towarem.

Główna niezgodności modeli „zapłaty lub zgody” z RODO wynika z wymogu dobrowolnego wyrażenia zgody (art. 4 pkt 11 RODO). Artykuł ten definiuje zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Osoba, której dane dotyczą, wyraża ją w formie oświadczenia lub wyraźnego działania, przyzwalając na przetwarzanie dotyczących jej danych osobowych.

Jeśli użytkownik musi wybierać między zapłatą a zgodą, zgoda nie jest naprawdę dobrowolna, co narusza zasady RODO.

Jak spełnić wymogi RODO w modelu „zgoda lub zapłata”?

Modele „zgoda lub zapłata” mogą być wdrażane przez duże platformy internetowe w sposób, który stanowi ważną zgodę tylko w bardzo szczególnych okolicznościach.

Zgodnie z opinią EROD 08/2024, modele te muszą zapewniać, że zgoda nie jest wymuszona groźbą opłaty lub wykluczenia z usługi, co mogłoby oznaczać brak rzeczywistego wyboru.

Aby zgoda była ważna, muszą być spełnione następujące warunki:

  1. swobodnie wyrażona zgoda – nałożona opłata, jeśli w ogóle, nie powinna być tak wysoka, aby uniemożliwić osobie, której dane dotyczą, dokonanie swobodnego wyboru.
  2. szczegółowość: osoby, których dane dotyczą, powinny mieć możliwość wyrażenia zgody na określone cele przetwarzania danych, a nie na wybór typu „wszystko albo nic”.
  3. świadoma zgoda: informacje powinny pomóc użytkownikowi zrozumieć, w jaki sposób dane są przetwarzane.
  4. konkretna zgoda: zgoda musi być udzielona w jednym lub większej liczbie konkretnych celów.
  5. równoważna alternatywa: jeśli pobierana jest opłata za alternatywę bez reklamy behawioralnej, należy zaoferować kolejną bezpłatną alternatywę, aby uniknąć przedstawiania użytkownikom binarnego wyboru.
  6. zgodność z zasadami RODO: musi przestrzegać wszystkich zasad RODO, w tym ograniczenia celu, minimalizacji danych, uczciwości i rozliczalności.
  7. ocena nierównowagi sił: administrator musi ocenić nierównowagę sił między osobą, której dane dotyczą, a administratorem, biorąc pod uwagę takie czynniki, jak pozycja rynkowa, blokada lub efekty sieciowe oraz zależność od usługi.

Dane osobowe nie powinny być traktowane jako towar, a prywatność nie powinna być odpłatną funkcjonalnością.

Dlaczego dane osobowe nie powinny być towarem?

Dane osobowe nie powinny być traktowane jak towar, a prywatność nie powinna stanowić odpłatnej funkcjonalności. W związku z tym, administratorzy danych nie powinni oferować jedynie płatnej alternatywy dla usługi, która obejmuje przetwarzanie na potrzeby reklamy behawioralnej.

Zamiast tego duże platformy internetowe powinny rozważyć zapewnienie osobom, których dane dotyczą, „równoważnej alternatywy”, która nie wymaga uiszczenia opłaty.

Privacy by design to podejście, które pozwala organizacjom przygotować niezawodne i zgodne z przepisami systemy i procedury. Warto zapewnić odpowiednie zasady ochrony danych na początkowym etapie każdego projektu, aby zrównoważyć cele biznesowe i wymogi regulacyjne.

Nasz zespół jest gotowy do pomocy. Skontaktuj się z nami, aby uzyskać wsparcie w zakresie wdrażania modeli zgodnych z RODO i innych regulacji dotyczących ochrony danych.

Autor team leader DKP Legal Alicja Mruczkiewicz
check full info of team member: Alicja Mruczkiewicz

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48kancelaria@dudkowiak.com
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48krakow@dudkowiak.com
Flaga Polski.WROCŁAWPOLSKA
Swobodna 1
50-088 Wrocław
+48 61 853 56 48wroclaw@dudkowiak.com
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74warszawa@dudkowiak.com
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48poznan@dudkowiak.com