92. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 16-17.04.2024 r.
EROD: Modele "zgoda lub zapłata" powinny oferować prawdziwy wybór
Bruksela, 17 kwietnia - Podczas ostatniego posiedzenia plenarnego EROD przyjęła opinię w następstwie wniosku złożonego na podstawie art. 64 ust. 2 RODO przez holenderski, norweski oraz hamburski organ ochrony danych. Opinia dotyczy ważności zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej w kontekście modeli "zgoda lub zapłata" wdrażanych przez duże platformy internetowe.
Przewodnicząca EROD Anu Talus powiedziała: "Platformy internetowe powinny dawać użytkownikom rzeczywisty wybór przy stosowaniu modeli "zgoda lub zapłata". Modele, z którymi mamy do czynienia obecnie, zwykle wymagają od osób fizycznych albo przekazania wszystkich swoich danych, albo zapłaty. W rezultacie większość użytkowników wyraża zgodę na przetwarzanie danych w celu korzystania z usługi i nie rozumie pełnych konsekwencji swoich wyborów".
Jeśli chodzi o modele "zgoda lub zapłata" wdrażane przez duże platformy internetowe, EROD uważa, że w większości przypadków nie będą one w stanie spełnić wymogów dotyczących ważnej zgody, jeśli będą stawiać użytkowników jedynie przed wyborem między wyrażeniem zgody na przetwarzanie danych osobowych do celów reklamy behawioralnej a uiszczeniem opłaty.
EROD uważa, że oferowanie jedynie płatnej alternatywy dla usług, które wiążą się z przetwarzaniem danych osobowych do celów reklamy behawioralnej, nie powinno być domyślnym rozwiązaniem stosowanym przez administratorów. Opracowując alternatywne rozwiązania, duże platformy internetowe powinny rozważyć zapewnienie osobom fizycznym "równoważnej alternatywy", która nie wymaga uiszczenia opłaty. Jeśli administratorzy zdecydują się na pobieranie opłaty za dostęp do "równoważnej alternatywy", powinni rozważyć zaoferowanie dodatkowej alternatywy. Ta bezpłatna alternatywa powinna być pozbawiona reklamy behawioralnej, np. z formą reklamy wiążącą się z przetwarzaniem mniejszej ilości danych osobowych lub ich brakiem. Jest to szczególnie ważny czynnik w ocenie ważności zgody na mocy RODO.
EROD podkreśla, że uzyskanie zgody nie zwalnia administratora z przestrzegania wszystkich zasad określonych w art. 5 RODO, takich jak ograniczenie celu, minimalizacja danych i rzetelność. Ponadto duże platformy internetowe powinny również rozważyć zgodność z zasadami konieczności i proporcjonalności. Duże platformy internetowe są również odpowiedzialne za wykazanie, że przetwarzanie, którego dokonują jest ogólnie zgodne z RODO.
Jeśli chodzi o wymóg dobrowolności zgody, należy wziąć pod uwagę następujące kryteria: warunkowość, szkodliwość, brak równowagi sił i szczegółowość. Na przykład, EROD wskazuje, że żadna pobierana opłata nie może sprawiać, że osoby fizyczne czują się zmuszone do wyrażenia zgody. Administratorzy powinni ocenić, indywidualnie dla każdego przypadku, zarówno czy opłata jest w ogóle odpowiednia, jak i jaka kwota jest odpowiednia w danych okolicznościach. Duże platformy internetowe powinny również rozważyć, czy decyzja o niewyrażeniu zgody może narazić daną osobę na negatywne konsekwencje, takie jak wykluczenie z ważnej usługi, brak dostępu do sieci zawodowych lub ryzyko utraty treści lub połączeń. EROD zauważa, że prawdopodobne jest wystąpienie negatywnych konsekwencji, gdy duże platformy internetowe zastosują model „zgoda lub zapłata” w celu uzyskania zgody na przetwarzanie.
Administratorzy danych muszą również ocenić, indywidualnie dla każdego przypadku, czy istnieje nierównowaga sił między osobą fizyczną a administratorem danych. Czynniki podlegające ocenie obejmują pozycję dużych platform internetowych na rynku, zakres, w jakim dana osoba polega na usłudze oraz głównych odbiorców usługi.
Ponadto, EROD zapewnia elementy do oceny kryteriów świadomej, konkretnej i jednoznacznej zgody, które duże platformy internetowe powinny wziąć pod uwagę przy wdrażaniu modeli "zgoda lub zapłata".
Przewodnicząca EROD, Anu Talus, dodała: "Administratorzy danych powinni zawsze uważać, aby nie przekształcić podstawowego prawa do ochrony danych w funkcję, za którą osoby fizyczne muszą płacić. Osoby fizyczne powinny być w pełni świadome wartości i konsekwencji swoich wyborów".
Oprócz opinii na podstawie art. 64 ust. 2 RODO, EROD opracuje również wytyczne dotyczące modeli "zgoda lub zapłata" o szerszym zakresie i będzie współpracować z zainteresowanymi stronami w sprawie tych przyszłych wytycznych.
Agenda z 92. posiedzenia plenarnego znajduje się pod tym linkiem:
https://www.edpb.europa.eu/our-work-tools/agenda/2024/edpb-plenary-meeting-16-17-april-0_en
EROD określa priorytety na lata 2024-2027 i wyjaśnia mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych (DPF)
Bruksela, 18 kwietnia – Podczas ostatniego posiedzenia plenarnego EROD przyjęła strategię na lata 2024-2027. Strategia określa priorytety EROD, zgrupowane wokół czterech filarów, a także kluczowe działania w każdym filarze, które pomogą osiągnąć te cele. Te cztery filary to:
- Filar 1 – Wspieranie harmonizacji i ułatwianie przestrzegania przepisów
- Filar 2 – Wzmocnienie wspólnej kultury egzekwowania przepisów i skutecznej współpracy
- Filar 3 – Zabezpieczenie ochrony danych w rozwijającym się krajobrazie cyfrowym i międzyregulacyjnym
- Filar 4 – Wkład w globalny dialog na temat ochrony danych
Przewodnicząca EROD Anu Talus powiedziała: „Nowa strategia przenosi istniejącą wizję w nowym kierunku, aby odpowiedzieć na dzisiejsze potrzeby w zakresie ochrony danych i stale ewoluujący krajobraz cyfrowy. Strategia jest wynikiem wspólnych wysiłków, angażujących wszystkie organy ochrony danych w UE i określa wspólne priorytety na nadchodzące lata.”
W ciągu najbliższych czterech lat EROD będzie nadal promować zgodność z prawem ochrony danych poprzez opracowanie jasnych, zwięzłych i praktycznych wytycznych dotyczących ważnych tematów oraz poprzez opracowanie materiałów dla szerszego grona odbiorców. Ponadto współpraca w zakresie egzekwowania prawa pozostanie ważnym priorytetem EROD. Rada będzie nadal opierać się na wizji przedstawionej w tzw. oświadczeniu wiedeńskim i dalej rozwijać inicjatywy EROD w tym obszarze, takie jak skoordynowane działania w zakresie egzekwowania przepisów.
Nowym aspektem strategii jest skupienie się na wzajemnym oddziaływaniu z nowymi regulacyjnymi ramami cyfrowymi. Nowe przepisy cyfrowe, takie jak (akt o rynkach cyfrowych (DMA) lub akt o usługach cyfrowych (DSA), mają wpływ na ochronę danych i prywatność. EROD będzie pracować nad wzmocnieniem współpracy z innymi organami regulacyjnymi w celu włączenia prawa do ochrony danych do ogólnej architektury regulacyjnej. Ponadto EROD będzie nadal zwracać szczególną uwagę na wyzwania związane z nowymi technologiami, takimi jak sztuczna inteligencja.
Strategia zostanie uzupełniona dwoma programami prac, które będą zawierać szczegółowe informacje na temat jej wdrażania. Ponadto, w odniesieniu do Ram Ochrony Danych UE-USA (DPF), EROD przyjęła regulamin, publiczną notę informacyjną i wzory formularzy skarg w celu ułatwienia wdrożenia mechanizmów dochodzenia roszczeń w ramach DPF.