RODO nie wyklucza modelu biznesowego, w którym serwis stawia użytkownika przed wyborem wykupienia subskrypcji albo zapłacenia za dostęp swoimi danymi. Diabeł tkwi jednak w szczegółach.
Organizacja NYOB (nazwa pochodzi od wyrażenia „none of your business”, czyli „nie twój interes”) w 2021 r. poskarżyła się na kilka austriackich i niemieckich serwisów internetowych. Aby uzyskać dostęp do ich treści, użytkownik musi albo zgodzić się na ciasteczka (pliki, po których jest rozpoznawany i śledzony) albo wykupić subskrypcję. NYOB uważa taki model biznesowy za niezgodny z RODO i domaga się jego zakazania, argumentując, że opłata pozwalająca korzystać z serwisu bez udostępniania danych znacznie przewyższa ich wartość.
W przypadku serwisu dziennika „Der Standard” austriacki urząd ochrony danych (DSB) nie spełnił oczekiwań organizacji założonej przez Maxa Schremsa – dopatrzył się pewnych uchybień, ale nie zabronił stosowania kwestionowanego mechanizmu. „Będziemy się odwoływać od tej decyzji” – informuje nas NYOB. „Mamy nadzieję na zakaz tego modelu biznesowego” – dodaje.
Czy możliwa jest taka interpretacja przepisów RODO, która zmusi serwis internetowy do udostępniania treści całkiem za darmo, tj. bez subskrypcji i bez opłaty w ciasteczkach?
Zapytani przez nas eksperci uważają, że nie.
– Podstawowy model praktyki, w ramach której użytkownik otrzymuje treść lub usługę bez ciasteczek (odpłatnie) lub z ciasteczkami (za darmo), jest zgodny z RODO – stwierdza Adam Klimowski, główny specjalista ds. ochrony danych osobowych w firmie JAMANO. – W tym scenariuszu każda osoba ma możliwość swobodnego wyboru między dwoma rozwiązaniami. Taka alternatywa nie narusza dobrowolności zgody w rozumieniu RODO i wytycznych Europejskiej Rady Ochrony Danych, nawet gdy jedna z możliwości oznacza odpłatność w pieniądzu – wyjaśnia prawnik.
Doktor Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński, zwraca uwagę, że na podobnej zasadzie działają serwisy internetowe, które stawiają odwiedzających przed alternatywą: zapłacić albo wyłączyć blokowanie reklam (adblocka).
– Nie można nikogo zmusić do bezpłatnego udostępniania treści, przynajmniej nie w europejskim systemie prawnym, który nie przewiduje przymusu świadczenia usług za darmo – podkreśla.
Bez faworyzowania jednej opcji
– Schody zaczynają się przy głębszej analizie sytuacji – kontynuuje dr Litwiński. – Przede wszystkim, skoro dane osobowe pełnią tu funkcję waluty, to ich wycena musi być rynkowa. Największym zagrożeniem przy takim modelu biznesowym może być zaniżanie wyceny danych, tzn. sytuacja, gdy udostępnione przez użytkownika dane uprawniają go do zbyt małego zakresu usług w porównaniu z tym, co otrzymałby, płacąc pieniędzmi za subskrypcję – podkreśla.
Jan Komosa, adwokat z firmy DAPR, specjalista ds. ochrony danych osobowych, dodaje, że pytając użytkownika, czy zaakceptuje ciasteczka, trzeba wyraźnie pokazać, że jest alternatywa.
– Opcja bez ciasteczek, czyli w tym przypadku subskrypcja, powinna być tak samo widoczna, a więc równoważna pod względem wielkości i koloru. Nie jest to bezpośredni przepis RODO, lecz interpretacja przepisów wymagających, aby zgoda na przetwarzanie danych była udzielana dobrowolnie – mówi prawnik.
Pod względem równoważności opcji „Der Standard” nie popełnił błędu.
– Na jego stronie internetowej widać, że nie faworyzuje się tam żadnej możliwości. Natomiast serwis poległ na etapie łączenia zgód na różne kategorie ciasteczek – wskazuje Paweł Litwiński. Austriacki regulator uznał to połączenie za sprzeczne z zasadami RODO, które gwarantują internautom możliwość powiedzenia „tak” lub „nie” osobno w odniesieniu do każdego przetwarzania danych (np. w celu personalizacji reklam czy analityki).
– Przy modelu „darmowym” (z ciasteczkami – red.), jeśli dane są wykorzystywane w kilku celach, każdy cel wymaga oddzielnej zgody. Jeżeli zatem dane mają trafiać do pięciu podmiotów, konieczne jest udzielenie pięciu oddzielnych zgód – wyjaśnia Adam Klimowski.
Jak miałoby to wyglądać w praktyce?
– Nikt dobrze nie wie. Dla dużych serwisów internetowych wizja tysięcy groszowych transakcji i konieczności zarządzania milionami zgód może oznaczać bunt IT, księgowości, inspektorów ochrony danych i innych osób, zaangażowanych w model „pay or okay” – stwierdza Adam Klimowski.
Kwestia ceny
W marcu Konferencja Niezależnych Urzędów ds. Ochrony Danych na poziomie federalnym oraz krajów związkowych w Niemczech (DSK) przyjęła stanowisko w sprawie modelu, w którym za korzystanie z serwisu internetowego bez reklam śledzących są pobierane okresowe opłaty (tzw. model czystych subskrypcji). DSK uważa go za zgodny z prawem – ale wymagający indywidualnej oceny każdego przypadku i spełnienia kilku warunków.
Podstawowym jest to, że po wykupieniu subskrypcji nie można śledzić użytkownika bez jego dodatkowej zgody – chyba że dane są niezbędne do świadczenia usługi. Ponadto uzyskiwanie zgody na ciasteczka jako alternatywy dla subskrypcji jest możliwe, jeżeli są to opcje równoważne. Jako element oceny DSK wskazuje tu koszt subskrypcji. Problem ustalenia ceny rynkowej pozostawia jednak otwarty.
– Cena subskrypcji nie powinna być elementem oceny zgodności modelu dostępu do serwisu internetowego z RODO. Cenę dostępu do treści ustala wydawca i organ ochrony danych nie jest kompetentny, by decydować, jaki poziom opłat jest odpowiedni. Subskrypcja nie stanowi rekompensaty za brak ciasteczek, lecz zapłatę za usługi danego wydawcy – uważa Jan Komosa.
– Organ ochrony danych osobowych może ewentualnie rozważyć, czy rażąco wygórowana cena nie powoduje, iż zgoda przestaje być dobrowolna – przyznaje prawnik, zastrzegając, że nawet wtedy nie wchodziłoby w grę ocenianie poziomu opłat, lecz sprawdzenie dobrowolności zgody. – Mowa jest o sytuacji, gdy ceny subskrypcji rażąco odbiegają od standardów rynkowych i nie mają uzasadnienia ekonomicznego, tj. są niezgodne ze społeczno-gospodarczym przeznaczeniem – stwierdza Jan Komosa.
Zaznacza, że oceniając, czy przy danej opłacie zgoda na śledzenie jest dobrowolna, trzeba zachować dużą ostrożność.
Zdaniem Adama Klimowskiego model wykorzystywania ciasteczek czeka podobny los jak reklamę internetową.
– Nachalność pop-upów, całostronicowych reklam i tym podobnych form wywołała reakcję w postaci powstania narzędzi typu adblock. Stosowne narzędzia, mające blokować pliki cookies, także już powstają. Może więc dojść do sytuacji, w której serwisy internetowe nie będą mogły ani zjeść ciasteczka, ani mieć ciasteczka – podsumowuje Adam Klimowski.©℗
/>
