Evropský sbor pro ochranu osobních údajů („Sbor“) 17. dubna 2024 přijal pokyny číslo 8/2024[1] k platnosti souhlasu v rámci modelu „souhlas, nebo zaplať“. Vyjádření Sboru k této otázce si v lednu 2024 vyžádaly dozorové úřady Německa, Nizozemska a Norska, a to na základě článku 64 odstavce 2 obecného nařízení.
Komu jsou pokyny určeny?
Pokyny jsou určeny zejména velkým online platformám. Sbor reaguje na aktuální vývoj, kdy stále více online platforem staví své uživatele před volbu buď zaplatit poplatek za užívání služby, nebo udělit souhlas se zpracováním osobních údajů pro účel behaviorálního marketingu. Mezi českými doménami nedávno tento model začal používat Seznam.cz.[2]
Obecné nařízení pojem „online platforma“ nedefinuje, Sbor se proto odkazuje na definici obsaženou v článku 3 písm. i) nařízení o digitálních službách.[3] Velkou online platformu Sbor definuje[4] rámcově jako platformu, která má velký počet uživatelů (subjektů údajů),[5] významné postavení na trhu a provádí rozsáhlá zpracování osobních údajů. Mohou sem spadat „velmi velké online platformy“ a „strážci přístupu“ podle jiných předpisů EU.[6]
Behaviorální marketing, jenž patří do cílené reklamy, zažil dynamický rozvoj zejména v online prostředí. Vychází z analýzy chování zákazníků. Základem je detailní profilování chování uživatele v síti, a to včetně údajů získaných od třetích stran nebo z offline prostředí. Behaviorální marketing je tak nutno považovat za obzvlášť obtěžujícídruh reklamy.[7] Rizika narušení soukromí subjektu údajů v tomto případě považuji za velmi pravděpodobná. Sbor zdůrazňuje, že podle odstavce č. 38 preambule obecného nařízení cílem behaviorálního marketingu nesmí být děti.
Východiska pokynů
Sbor ve svých pokynech zkoumá zejména otázku souhlasu se zpracováním. Nové pokyny proto do značné míry navazují na pokyny Sboru č. 5/2020.[8] Východiskem se stalo také rozhodnutí Soudního dvora EU v řízení o předběžné otázce ve sporu Meta Platforms Inc. proti Bundeskartellamt ze dne 4. července 2023 (spisová značka C-252/21[9]), který stanovil, že uživatelům má být ke zpracování jejich osobních údajů pro účely behaviorálního marketingu nabídnuta rovnocenná alternativa, která může být i přiměřeně zpoplatněna. Německý Spolkový úřad pro ochranu hospodářské soutěže vedl spor kvůli možnému zneužití postavení na trhu společností Meta Platforms Inc. tím, jak přistupovala ke zpracování osobních údajů podle obecného nařízení. Základem sporu ohledně zneužití postavení na trhu bylo německé právo, předběžnou otázku k Soudnímu dvoru EU Vrchní zemský soud v Düsseldorfu podal kvůli výkladu obecného nařízení a také otázce, nakolik může úřad pro ochranu hospodářské soutěže rozhodovat na základě výkladu právních předpisů na ochranu osobních údajů, když není dozorovým úřadem podle obecného nařízení.
Hlavní linie pokynů
Sbor se zaměřil na několik faktorů souhlasu, z nichž jeden každý může znamenat, že volba „souhlas, nebo zaplať“ neobsahuje takový souhlas se zpracováním osobních údajů, který by naplňoval standardy zakotvené v obecném nařízení. Určení platnosti souhlasu je z definice zmíněného modelu klíčové a je na správci, aby byl schopen doložit, že zpracování osobních údajů probíhá na platném právním základě. Údaje uživatelů pro účely behaviorálního marketingu lze použít pouze na základě souhlasu, jiný právní základ nepřipadá v úvahu. Zpracování osobních údajů pro účely cílené reklamy není nezbytně nutné k plnění smlouvy či oprávněného zájmu správce.
Svoboda souhlasu
Souhlas je svobodný, jestliže má uživatel skutečně možnost volby a neposkytnutí či odvolání souhlasu neznamená poškození subjektu údajů.[10] Podle výše zmíněného rozsudku Soudního dvora EU samotný fakt, že je přístup bez souhlasu zpoplatněn, ještě sám o sobě neznamená poškození subjektu údajů. Poplatek však musí být přiměřený. Jeho výše nesmí být popudem k volbě přístupu spojeného s behaviorálním marketingem. Sbor zde připomíná, že osobní údaje by neměly být obchodovatelnou komoditou, v případě „přiměřené“ výše poplatků by volba „souhlas, nebo zaplať“ neměla s touto zásadou kolidovat. Sbor však také připomíná, že ochrana osobních údajů je lidské právo, jinými slovy východisko, od kterého se mají odvíjet další parametry platforem, nikoli vlastnost, které subjekty údajů mohou využít až poté, co za ni zaplatí.
Poškození však nastává v případě, kdy nezaplacení poplatku znamená odepření služby, jež má významné místo na trhu nebo sehrává rozhodující roli ve společenském životě uživatele. Totéž platí v případě platforem, jejichž prostřednictvím navazuje a udržuje kontakty potřebné pro svou výdělečnou činnost anebo se zapojuje do profesních či odborných skupin. Veliká újma uživateli může nastat v případě, že je na službě závislý, například když jde o platformu, na které má e-mailovou schránku. Totéž lze říci v případě, že službu využívá velký počet uživatelů.[11] Přechod na jinou službu je pak velmi obtížný a může vést ke ztrátě příležitostí k výdělku nebo k vyloučení z diskusních komunit. Tyto faktory hrají roli v momentě, kdy platforma začne uplatňovat model „souhlas, nebo zaplať“ poté, co dlouhou dobu fungovala bez něj. Uživatel by tak mohl přijít o obsah, který již vytvořil, nebo o data v e-mailové schránce, která se stávají určitými „rukojmími“, a lze to označit za symbol nerovnováhy mezi subjektem údajů a správcem.
Svoboda souhlasu je podmíněna také tím, zda je stejně snadné jej odvolat jako dát. Odvolání souhlasu nesmí vést k poškození subjektu údajů, platí tatáž zásada jako pro neudělení souhlasu. I to patří mezi faktory, které si online platforma musí vyhodnotit.
Další zásada, jejíž naplnění rozhoduje o platnosti souhlasu, spočívá v požadavku na to, aby subjekt údajů mohl dát souhlas ke každému zpracování zvlášť a mohl si mezi jednotlivými zpracováními vybírat ta, s nimiž souhlasí. Volba umožňující pouze souhlas se všemi zpracováními není svobodným souhlasem.
Nerovnováha subjektu údajů a správce
Právě nerovnováha mezi subjektem údajů a jejich správcem je další faktor, který je nutno posoudit v každém jednotlivém případě. Jestliže taková nerovnováha existuje, obecné nařízení souhlas nepovažuje za vhodný právní základ zpracování.[12] Sbor použití souhlasu považuje za možné, jen pokud správce dokáže doložit, že subjektu údajů v případě neudělení souhlasu nevzniknou vůbec žádné negativní dopady.[13]
Nerovnováha moci může vyplývat z postavení platformy na trhu. Nemusí jít o dominantní pozici, ale okolnosti, které výrazně ztěžují přechod k službě, jež nevyžaduje poplatek (např. pokud alternativní platformy rovněž využívají model „souhlas, nebo zaplať“), nebo zpracování údajů pro behaviorální marketing, včetně již zmíněné závislosti uživatele na konkrétní platformě, nebo velký počet uživatelů, kteří jsou pro uživatele relevantní.
Korektnost
Sbor poznamenává, že otázka platnosti souhlasu se zpracováním údajů v souvislosti s nerovným postavením mezi subjektem údajů a správcem a vzhledem k zásadě korektnosti zakotvené v článku 5 obecného nařízení vykazuje řadu shodných rysů s principy férové soutěže a otázkou zneužití pozice na trhu. To ostatně potvrzuje skutečnost, že Sbor rovněž vycházel z rozsudku Soudního dvora EU ve věci, kde byl jednou ze stran německý antimonopolní úřad. Požadavek na korektnost vztahu mezi správcem a uživatelem a na korektnost poskytovaných informací o zpracování osobních údajů je obsažen jak v obecném nařízení, tak v právních dokumentech zakazujících klamání spotřebitele. Sbor zmiňuje zejména zavádějící a manipulativní jazyk či strukturu informací dávaných uživatelům o zpracování osobních údajů. S tím souvisí nutnost dodržet zásadu transparentnosti, aby subjekt údajů snadno porozuměl, jak se jeho rozhodnutí projeví na zpracování osobních údajů.
Informovanost
Platný souhlas je konkrétní, daný pro přesně určené zpracování, a je jednoznačným projevem vůle. Souhlas proto musí být rovněž informovaný. Subjekt údajů musí dostat k dispozici úplnou, jasnou a srozumitelnou informaci o hodnotě, rozsahu a následcích jednotlivých voleb. To platí dvojnásob u tak komplexních zpracování, která se používají při behaviorálním marketingu. Nepostačí informace, že údaje jsou využívány k „personalizaci“, ke „komerčním účelům“ apod. Součástí informace by mělo být sdělení, zda dochází k profilování, sledování aktivity uživatele na síti, a další podobné invazivní postupy.
Správci velkých online platforem by tedy měli velmi pečlivě zvážit, jakým způsobem se ptají na souhlas svých klientů, když jim předkládají volbu typu „souhlas, nebo zaplať“. Neměli by se uchylovat ke klamavým praktikám.
Další zásady, které musí zpracování splnit
V případě, že nastavení modelu „souhlas, nebo zaplať“ splní všechny požadavky a jedná se o platný souhlas, a to i případně pomocí zavedení další volby navrhované Sborem (viz dále), stále platí zásady zakotvené v čl. 6 obecného nařízení, tedy minimalizace údajů, transparentnost, korektnost, zákonnost, přesnost, omezení uložení a integrita a důvěrnost. Sbor také dodává, že souhlas by měl být dáván pouze na dobu určitou. Za přiměřenou délku takové doby považuje například období jednoho roku.
Velká oline platforma v roli správce musí být schopna doložit, že zpracovává pouze osobní údaje, které jsou nezbytné k dosažení účelu zpracování, a že stejného účelu nemohlo být dosaženo méně invazivním způsobem nebo zpracováním, při kterém se využije méně osobních údajů. V případě behaviorálního marketingu, při kterém se zpracovává mnoho údajů získaných z různých zdrojů, se dodržení zásady minimalizace údajů velmi těžko prokazuje. Na druhou stranu lze obtížně prokázat nedodržení této zásady. Osobně jsem toho názoru, že na to většina takových podnikatelských modelů spoléhá.
Profilování?
Přestože Sbor v pokynech výslovně zmínil, že behaviorální marketing využívá profilování,[14] nezabýval se specifickými ustanoveními obecného nařízení, která se na profilování vztahují, zejména právo subjektu údajů vznést proti profilování bezplatnou námitku.[15] Toto vnímám jako nedostatek pokynů.
Jaký postup Sbor doporučuje?
Sbor je toho názoru, že nabízení pouze placené alternativy ke zpracování údajů pro účely behaviorálního marketingu by nemělo být pro velké online platformy východiskem. Měly by zvážit a ideálně nabízet také rovnocennou nezpoplatněnou alternativu. Rovnocennou alternativou se rozumí takový přístup, kdy má uživatel k dispozici v zásadě stejné funkce a vlastnosti, jako kdyby souhlasil s využitím svých údajů pro účely behaviorálního marketingu. Omezeny mohou být pouze takové funkce či vlastnosti, které závisí na zpracování údajů pro účely behaviorálního marketingu. Nová alternativa by byla založena např. na jiných formách reklamy bez behaviorálního marketingu, které by vyžadovaly zpracování méně osobních údajů, případně by se bez zpracování osobních údajů obešly úplně. Takový krok by bezpochyby rozšířil svobodu volby subjektů údajů a velké online platformy by dokázaly snadněji prokázat, že souhlas se zpracováním údajů pro účely behaviorálního marketingu byl udělen svobodně.
Závěr
Z výše uvedeného vyplývá, že u modelu „souhlas, nebo zaplať“ je poměrně obtížné s jistotou říci, že souhlas splnil všechny náležitosti upravené obecným nařízením. Otázkou je zejména míra svobody volby uživatele. Sbor v pokynech zmiňuje řadu faktorů, které mohou vést k závěru, že souhlas není svobodný. Sbor přitom poukazuje na to, že faktory, jež uvádí, nejsou jediné, které je nutno vzít v potaz.
Podle doporučení Sboru by zavedení rovnocenné alternativy v podobě třetí volby bylo ve většině případů řešením, které by výrazně omezilo pochyby ohledně platnosti souhlasu. Třetí volba („rovnocenná alternativa“), by nezahrnovala platbu předplatného ani zpracování údajů pro behaviorální marketing. Zdrojem příjmů platformy by v této variantě byla necílená reklama.
Podle mého názoru měl Sbor vést úvahu o něco hlouběji. Třetí varianta doporučovaná Sborem dává smysl v situaci, kdy placený přístup na platformu vede k tomu, že uživatel není vystaven reklamě vůbec. Volba by tak měla tři stupně:
- žádná reklama, ale je vyžadován poplatek;
- reklama bez behaviorálního marketingu, bez poplatku;
- zpracování osobních údajů pro účely behaviorálního marketingu, bez poplatku.
V modelu „souhlas, nebo zaplať“, však nemusí jít o volbu, zda uživatel je nebo není vystaven reklamě, ale o to, že v placené variantě zobrazovaná reklama nevyužívá údaje zpracované v rámci behaviorálního marketingu. „Rovnocenná alternativa“, navrhovaná Sborem jako doporučení, zřejmě u velkých online platforem, které používají druhý popsaný model, nebude přijata.
Pavel Janeček
odborník na mezinárodní vztahy
[1] Anglické znění ke stažení k dispozici zde: https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en [přístup 28. 6. 2024].
[2]https://www.seznamzpravy.cz/clanek/ekonomika-firmy-byznys-seznamu-platit-daty-ci-penezi-uzivatele-seznamu-dostanou-na-vyber-248376 [přístup 22. 6. 2024]. Článek vyšel dne 28. 4. 2024, tedy již po schválení pokynů Sboru. Nemohu se zbavit dojmu, že článek se snaží samotné zavedení tohoto modelu vydávat za povinnost stanovenou Evropskou unií.
[3] Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách). Definice online platformy: „hostingová služba, která na žádost příjemce služby ukládá a veřejně šíří informace, ledaže je tato činnost nepodstatným a pouze pomocným prvkem jiné služby nebo nepodstatnou funkcí hlavní služby a z objektivních a technických důvodů ji nelze používat bez této jiné služby a integrace tohoto prvku nebo této funkce do této jiné služby není prostředkem k obcházení použitelnosti tohoto nařízení“.
[4] Na str. 11 pokynů.
[5] Nařízení o digitálních službách definuje „velmi velké online platformy“ a také „velmi velké internetové vyhledávače“ tím, že mají průměrný měsíční počet alespoň 45 milionů aktivních příjemců služby v Unii.
[6] Anglicky „gatekeepers“. Definuje je článek 3 odst. 1 Nařízení Evropského parlamentu a Rady (EU) 2022/1925 ze dne 14. září 2022 o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví a o změně směrnic (EU) 2019/1937 a (EU) 2020/1828 (nařízení o digitálních trzích). Podnik je označen za strážce přístupu, pokud:
a) má významný dopad na vnitřní trh;
b) poskytuje hlavní službu platformy, která je klíčovou branou pro podnikatelské uživatele k oslovení koncových
uživatelů; a
c) má ve své činnosti zavedené a trvalé postavení nebo lze předpokládat, že takové postavení v blízké budoucnosti získá.
[7] K tomu v roce 2010 přijala stanovisko dřívější Pracovní skupina 29 (Working Party 29). Viz https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_en.pdf [přístup 24. 6. 2024].
[8] Dostupné zde: edpb_guidelines_202005_consent_en.pdf (europa.eu) [přístup 28. 6. 2024].
[9] V češtině zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:62021CJ0252 [přístup 24. 6. 2024].
[10] Základem je zde zejména odstavec č. 42 preambule (recital) obecného nařízení.
[11] Proprietární uzamčení (lock-in effect).
[12] Odstavec č. 43 preambule obecného nařízení.
[13] Pokyny Sboru č. 5/2020, odst. 22 a Příklad č. 5.
[14] Oddíl 2.1.2 pokynů, strany 9 a 10.
[15] Článek 21 odst. 1 obecného nařízení, případně též článek 22 odst. 1 obecného nařízení. Bezplatnost námitky uvádí odstavec č. 70 preambule obecného nařízení.