– Czy ochrona danych jest prawem podstawowym każdego, czy też luksusem zarezerwowanym dla bogatych? – tak Tobias Judin, szef sekcji międzynarodowej w norweskim organie ochrony danych, przedstawia kwestię, z jaką Datatilsynet wraz z analogicznymi organami z Holandii i Niemiec (urząd w Hamburgu) zwrócił się do Europejskiej Rady Ochrony Danych (EROD).
Chodzi o stosowany przez niektóre serwisy internetowe model „pay or okay”. Polega on na tym, że aby uzyskać dostęp do danej platformy, użytkownik musi albo zgodzić się na przetwarzanie jego danych osobowych na potrzeby reklamowe, albo uiścić opłatę pieniężną. Przepisy RODO wymagają, aby zgoda na wykorzystanie danych osobowych była wyrażona dobrowolnie. W stosunku do systemu „pay or okay” są podnoszone jednak wątpliwości co do spełnienia tego wymogu. Dobrowolność oznacza bowiem, że nie należy wywierać nacisku na użytkowników, aby wyrazili zgodę, i nie powinni oni ponieść szkody w przypadku odmowy na zbieranie ich danych. Innymi słowy obie możliwości – śledzenie internauty i opłata pieniężna – powinny być równoważne.
Spełnienie tego warunku często budzi jednak wątpliwości.
Najsłynniejszym przypadkiem zastosowania „pay or okay” są serwisy społecznościowe Facebook i Instagram, które w listopadzie ub.r. wprowadziły ten model korzystania z usług dla internautów w Europejskim Obszarze Gospodarczym (EOG). Za miesięczny dostęp do konta w jednym z serwisów (lub do połączonych kont danego użytkownika) Meta żąda 9,99 euro przy korzystaniu przez stronę internetową lub 12,99 euro w aplikacji. Od marca dojdzie do tego opłata za każde połączone konto: odpowiednio 6 euro lub 8 euro miesięcznie.
Cyfrowy gigant wprowadził ten system, gdyż jego poprzednie podstawy zbierania danych internautów w EOG zostały zakwestionowane przez organy ochrony danych oraz Trybunał Sprawiedliwości Unii Europejskiej. Najpierw było to zaszywanie zgody na śledzenie użytkowników w warunkach korzystania z platform – jako elementu rzekomo niezbędnego do świadczenia usług. Po wykluczeniu tego sposobu Facebook i Instagram zaczęły się opierać na tzw. uzasadnionym interesie. Ale w lipcu ub.r. TSUE orzekł, że to również narusza RODO i że należy wprost pytać internautów o zgodę na zbieranie ich danych (sprawa C-252/21).
Obecna metoda obejmuje wprawdzie zgodę, ale według organizacji obrońców prywatności NOYB przy tak wygórowanym wynagrodzeniu jako opcji alternatywnej – nie jest to zgoda dobrowolna. Dlatego NOYB złożyła do austriackiego organu ochrony danych skargę przeciwko właścicielowi Facebooka i Instagrama.
Wcześniej, w 2021 r., organizacja zaskarżyła już kilka austriackich i niemieckich serwisów internetowych, stosujących „pay or okay”. Wtedy też argumentowała, że ten model jest niezgodny z RODO, gdyż opłata pozwalająca korzystać z serwisu bez udostępniania danych znacznie przewyższa ich wartość.
W odniesieniu do modelu subskrypcyjnego Mety organy w Niemczech i Norwegii pod koniec ub.r. same podjęły się zbadania zgodności z przepisami.
W Niemczech w marcu ub.r. Konferencja Niezależnych Urzędów ds. Ochrony Danych na poziomie federalnym oraz krajów związkowych (DSK) przyjęła stanowisko dotyczące sytuacji, gdy za korzystanie z serwisu internetowego bez reklam śledzących są pobierane okresowe opłaty (tzw. model czystych subskrypcji). DSK uważa go za zgodny z prawem – ale wymagający indywidualnej oceny każdego przypadku i spełnienia kilku warunków.
Podstawowym jest to, że po wykupieniu subskrypcji nie można śledzić użytkownika bez jego dodatkowej zgody – chyba że dane są niezbędne do świadczenia usługi. Ponadto uzyskiwanie zgody na zbieranie danych jako alternatywy dla subskrypcji jest możliwe, jeżeli są to opcje równoważne. Jako element oceny DSK wskazuje tu koszt subskrypcji.
Nie rozwiązuje to jednak problemu, gdyż kwestia ustalenia ceny rynkowej pozostała otwarta.
Także Trybunał Sprawiedliwości UE, wypowiadając się o dopuszczalności alternatywnego modelu płatnego, nie sprecyzował, w jakich okolicznościach może on być legalny – choć podkreślił znaczenie dobrowolności wyrażonej zgody na zbieranie danych.
Kontrowersje wobec zmian wprowadzonych przez Metę i brak zharmonizowanego na poziomie europejskim podejścia do tej kwestii sprawiły, że trzy organy ochrony danych zwróciły się do EROD o wydanie opinii w sprawie zgodności „pay or okay” z RODO. Opinia rady będzie podstawą do egzekwowania przepisów RODO w całym EOG.
– Odpowiedź EROD będzie kształtować internet na nadchodzące lata – podkreśla Tobias Judin.
EROD powinna wydać opinię w ciągu ośmiu tygodni. W razie potrzeby termin można jednak przedłużyć o kolejne sześć tygodni, co potencjalnie da EROD łącznie 14 tygodni na rozpatrzenie sprawy.©℗
