V návaznosti na žádost hned několika evropských dozorových úřadů vydal Evropský sbor pro ochranu osobních údajů (EDPB) dne 17. dubna 2024 stanovisko č. 8/2024[1] týkající se velkých on-line platforem, ve kterém v zásadě konstatuje, že řešení „pay or OK“ opět není „to pravé ořechové“.

Úvodem je třeba upozornit, že společnost Meta zavedla shora uvedený model v návaznosti na předchozí rozhodnutí Soudního dvora EU[2], který Metě v podstatě zakázal aplikovat pro personalizovanou reklamu právní důvod (titul) založený na „plnění smlouvy“ dle článku 6 odst. 1 písm. b) GDPR[3]. Bohužel soud dále konstatoval, že ani titul „oprávněného zájmu“ dle čl. 6 odst. 1 písm. f) GDPR není možné použít, neboť zájem Mety na zpracování osobních údajů pro personalizaci reklamy (byť je zásadní pro její podnikatelské příjmy) nepřeváží nad zájmy a základními právy a svobodami subjektů údajů – uživatelů, a zpracování osobních údajů v takovém rozsahu proto nelze považovat za „nezbytné“ pro účely oprávněných zájmů příslušného správce.[4]

Koncept „pay or OK“ od počátku budil značnou kontroverzi a na straně uživatelů vyvolával dojem, že jsou nuceni takový souhlas poskytnout. Obecné nařízení pro platnost souhlasu vyžaduje, aby byl udělen svobodně, konkrétně, informovaným a jednoznačným způsobem ve smyslu čl. 4 bodu 11 GDPR[5]. EDPB ve svém novém stanovisku přitom vyjádřil názor, že ve většině případů pouze binární volba mezi souhlasem se zpracováním osobních údajů pro účely behaviorální reklamy a zaplacením poplatku nebude splňovat přísné požadavky GDPR na platně udělený souhlas. Z pohledu autorky jde o logický závěr i ve světle dosavadního odborného výkladu na svobodu souhlasu uděleném správci subjektem údajů, kteří jsou v nerovném postavení, jakož i toho, že svobodu souhlasu nelze spatřovat v tom, že bez jeho udělení fakticky hrozí subjektu údajů vyloučení z poskytované služby.

Správci by tak měli v rámci tohoto businessového modelu nabídnout nějakou další rovnocennou, ideálně „bezpoplatkovou“ variantu bez behaviorální reklamy (např. s reklamou zahrnující zpracování menšího množství osobních údajů nebo dokonce bez jejich zpracování). EDPB přitom ale nevylučuje ani rovnocennou variantu s poplatkem, ale v rámci této varianty musí být posouzeny další aspekty týkající se právě podstaty oné rovnocennosti a přiměřenosti poplatku.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Dle EDPB bude muset být každý případ posuzován individuálně a ani získání souhlasu nezbaví správce povinnosti „dodržovat všechny zásady uvedené v článku 5 GDPR, jakož i další povinnosti vyplývající z GDPR. Klíčové je dodržování zásad nezbytnosti a přiměřenosti, účelového omezení, minimalizace údajů a spravedlnosti.“ Zvláště zásada minimalizace zpracování osobních údajů nabývá na významu, neboť EDPB konstatoval, že nadměrné sledování uživatele, které zahrnuje kombinaci různých zdrojů na různých internetových stránkách, bude s touto zásadou hůře slučitelné než třeba systém, kdy si uživatelé sami určují své preference.

Zároveň EDPB uvádí, že souhlasy v rámci modelů „pay or consent“ týkající se behaviorální reklamy lze považovat za platné při splnění zejména následujících požadavků[6]:

1. svoboda souhlasu, což zahrnuje posouzení:

• zda použitím tohoto modelu nevznikne subjektu údajů újma (např. tím, že mu bez souhlasu nebo bez zaplacení poplatku bude odepřen přístup ke službě, která hraje významnou roli v jeho společenském nebo profesním životě);
• zda je souhlas vyžadován pro přístup ke zboží nebo službám, i když zpracování na základě souhlasu není nezbytné pro plnění smlouvy vztahující se na nabídku takového zboží nebo služeb;
• zda existuje možná nerovnováha mezi správcem a subjektem údajů a v případě, že je zjevná, aby byla subjektu údajů nabídnuta alternativa, která na něj nemá negativní dopad;
• zda uložený poplatek nebrání skutečné volbě nebo naopak uživatele přiměl k udělení souhlasu;
• granularity souhlasu - subjekt by měl mít možnost si vybrat, pro které účely zpracování přijme a pro které ne a nikoliv udělovat souhlas pro všechny účely zpracování zároveň;

2. informovanost souhlasu – subjekt údajů by měl na základě správcem jasně a srozumitelně poskytnutých informací plně a jasně pochopit hodnotu, rozsah a důsledky své volby;
3. souhlas jako jednoznačný projev vůle – subjekty by neměly být vystaveny klamavým vzorcům, manipulativním technikám či designu či nezneužívat slabých míst subjektů údajů;
4. zajištění konkrétnosti souhlasu, což vyžaduje přesnou definici a vymezení účelů zpracování a nespojovat takový souhlas se souhlasem pro jiné účely.

Dále EDPB akcentuje, že s ohledem na zvláštní ochranu dětí, by právě ony neměly být předmětem behaviorální reklamy a by tak být s modelem „pay or OK“ konfrontovány vůbec.

V závěru svého stanoviska EDPB také zmiňuje, že správce musí zajistit možnost odvolání souhlasu bez jakékoli újmy, a to stejně jednoduše, jak byl udělen. Souhlas by také neměl být udělen na dobu neurčitou, ale měl by být obnovován (např. po roce).

Za zásadní považuje autorka i uvedení názoru, že "osobní údaje nelze považovat za obchodovatelné zboží a správci by měli mít na paměti, že je třeba zabránit tomu, aby se základní právo na ochranu údajů změnilo v prvek, za jehož využívání musí subjekty údajů platit". Zároveň je potřeba zabránit tomu, aby se „základní právo na ochranu údajů změnilo v prémiovou funkci vyhrazenou pro bohaté“. Tyto bezesporu podstatné teze však v praxi mohou narážet na přístup samotných subjektů údajů, neboť si kolikrát sami neuvědomují hodnotu svých osobních údajů a nedostatečně věnují svoji pozornost jejich ochraně.

Závěrem je důležité zmínit, že EDPB fakticky model „pay or OK“ nezakázal (takovou pravomoc ani nemá, neboť jeho stanoviska nejsou bezprostředně a přímo závazná), ale poskytl vnitrostátním dozorovým úřadům vodítka, jak posuzovat jeho zákonnost. Nutno ale říci, že splnit požadavky kladené těmito vodítky může být pro správce velmi obtížné a obchodní model „pay or OK“, zejména pokud bude postaven jen na dvou variantách, tak bude mít velmi nejistý základ. Nadto v tuto chvíli očekáváme rozhodnutí vnitrostátních dozorových úřadů (nizozemského, norského a hamburského v případě Spolkové republiky Německo), které věc EDPB postoupily, a jež pravděpodobně budou následně ještě mít i dohru u Soudního dvora EU.

Mgr. Lenka Hanková,
advokátka / Senior Associate

Rödl & Partner

Platnéřská 2
110 00  Praha 1

Tel.: +420 236 163 111
e-mail: lenka.hankova@roedl.com