Consent or Pay model a co to znamená v rámci EU úpravy ochrany osobních údajů?

14.10.2024

Možná jste zaznamenali kampaň společnosti Meta, která počátkem tohoto roku oznámila spuštění modelu Consent or Pay. Co model Consent or Pay pro uživatele internetových platforem znamená? 

Velice zjednodušeně řečeno, jedná se o model, kdy buď za internetovou službu či produkt společnosti platíte, nebo automaticky souhlasíte s tím, že společnost může zpracovávat vaše osobní údaje, nejčastěji k provozu cílené reklamy a sběru anonymizovaných informací pro statistické účely. Tento model se dá velmi zjednodušeně popsat v době rčením, že pokud je produkt na internetu zdarma, produktem jste ve skutečnosti vy, nebo spíše vaše osobní údaje.

Dej mi cookies nebo zaplať

Model Consent or Pay spočívá v tom, že je typicky uživateli určitých webových stránek či webových aplikací znemožněna interakce s nimi, pokud nezvolí buď mezi udělením souhlasu se zpracováním svých osobních údajů, tedy například takovým, kdy jsou vaše analytické cookies zpracovávány tak, že vám webová stránka může nabízet reklamu dle vašich konkrétních aktivit na v prohlížeči (třeba jste si dříve prohlíželi chytré telefony a reklama vám následně nabízí pouzdra na telefon a ne novou vrtačku), či mezi zaplacením určitého poplatku, ať již jednorázového či poplatku na opakované bázi měsíční či roční bázi. 

Logicky zde můžeme zmínit ještě možnost třetí, a to si účet v aplikaci či webové stránce zrušit a prostě ji přestat používat. Tento model známe mimo mezinárodní giganty jako je Meta i u nás. Seznam.cz, jehož produkty denně používá nad 90 procent českého internetu, zavedl placenou variantu svých služeb a uživatelé musí volit mezi penězi nebo svými daty. Jak již bylo zmíněno, osobní údaje lze v současnosti považovat za měnu moderního internetu. Mnoho uživatelů zavedení tohoto modelu Seznamem kritizuje. Seznam se brání, že k němu musí přistoupit z finančních důvodů. "Provoz digitálních služeb stojí nemalé finanční prostředky a primárním zdrojem financování Seznamu je v tuto chvíli reklama, konkrétně takzvaná cílená reklama," zdůvodnil ředitel divize identity a uživatelského profilu Jiří Udatný.


Jak na tom jsme v českém rybníčku?

Model Pay or Consent známe mimo mezinárodní giganty jako je Meta i u nás. Seznam.cz, jehož produkty denně používá nad 90 procent českého internetu, zavedl placenou variantu svých služeb a uživatelé musí volit mezi penězi nebo svými daty. Jak již bylo zmíněno, osobní údaje lze v současnosti považovat za měnu moderního internetu. Mnoho uživatelů zavedení tohoto modelu Seznamem kritizuje. Seznam se brání, že k němu musí přistoupit z finančních důvodů. "Provoz digitálních služeb stojí nemalé finanční prostředky a primárním zdrojem financování Seznamu je v tuto chvíli reklama, konkrétně takzvaná cílená reklama," zdůvodnil ředitel divize identity a uživatelského profilu Jiří Udatný.

Co na to přísně hlídaná Evropa?

Model se vám může zdát na přísně hlídanou úroveň ochrany osobních údajů v rámci EU poměrně nekonformní a nebudete sami. Stejný postoj zaujal i Evropský Sbor pro Ochranu Osobních Údajů (tedy European Data Protection Board nebo EDBP). EDPB zaujal negativní postoj ve svém stanovisku 08/2024, kde uvedl:

"ve většině případů nebude možné, aby velké online platformy splňovaly požadavky na platný souhlas, pokud konfrontují uživatele pouze s binární volbou mezi udělením souhlasu se zpracováním osobních údajů pro účely behaviorální reklamy a zaplacením poplatku."

EDPB současně pravidelně připomíná, že osobní údaje nelze považovat za obchodovatelné komodity, a velké online platformy by měly mít na paměti, že je třeba zabránit tomu, aby se základní právo na ochranu údajů přeměnilo na prvek, který musí subjekty údajů zaplatit. Proto je tedy možnost pouze dvou alternativ služeb, které zahrnují zpracování pro účely behaviorální reklamy, neměly být pro správce osobních údajů uživatelů standardní cestou vpřed. Možnou alternativou by mohla být například možnost poskytnutí alternativy subjektům údajů, která by nevyžadovala zaplacení poplatku a stále obsahovala reklamu, ale nejednalo by se o reklamu cílenou .

Staré dobré GDPR

Optikou ochrany osobních údajů v EU, hlavně tedy obecného nařízení GDPR, vyvstává otázka, zda je takový souhlas se zpracováním osobních údajů skutečně svobodný, neboť je třeba brát v potaz určité prvky, například fakt, že existuje výrazný nepoměr stran (online platforma vůči svému uživateli) či to, že uživateli může být, pokud tento neudělí požadovaný souhlas, způsobena újma (ta může spočívat v tom, že bude vystaven odepření služby, pokud neudělí souhlas se zpracováním osobních údajů, což bude rozhodné zejména v případech, kdy má služba významnou úlohu pro uživatele). V neposlední řadě je i nutné posoudit výši poplatku, který je v rámci konkrétního modelu uživateli účtován, aby nebyly jeho osobní údaje zpracovávány za účelem behaviorální reklamy. Všechny tyto prvky mají zásadní vliv na posouzení, zda byl udělený souhlas svobodný, jak GDPR při takovém zpracování osobních údajů požaduje. Důležitým aspektem je i jestli je souhlas dostatečně informovaný, neboť uživatel musí mít k dispozici informace o tom, jak bude s jeho údaji nakládáno. Uživatel si často není vědom toho, že jeho osobní údaje o tom, jaké všechny webové stránky si prohlížel, jsou shromažďovány, třízeny a vyhodnocovány.


Předsedkyně EDPB Anu Talus k tomuto uvedla: 

"On-line platformy by měly uživatelům poskytnout skutečnou možnost volby při používání modelů "consent or pay. Modely, které dnes máme, obvykle vyžadují, aby jednotlivci buď poskytli všechna svá data nebo aby zaplatili. V důsledku toho většina uživatelů souhlasí se zpracováním [osobních údajů], aby mohli službu využít, a nerozumí všem důsledkům tohoto rozhodnutí. Správci by měli vždy dbát na to, aby se zabránilo přeměně základního práva na ochranu osobních údajů na prvek, který musí jednotlivci zaplatit. Jednotlivci by měli být plně informováni o ceně a důsledcích svých rozhodnutí."

Co si z toho odnést?

Český Úřad pro ochranu osobní údajů ÚOOÚ dodává, že EDPB je samostatným orgánem Evropské unie a jedná se v tuto chvíli pouze o doporučení. Konkrétní vývoj právního rámce ochrany osobních údajů bude záležet na dozorové a aplikační činnosti jednotlivých dozorových úřadů, kterou je třeba dále sledovat. V současné době se modelem Consent or Pay zabývá Evropská komise, není však to ve vztahu GDPR, ale ve vztahu k porušování pravidel hospodářské soutěže v oblasti digitálních trhů. 

V této souvislosti Evropská komise předběžně shledala, že model "pay or consent" využívaný společností Meta, není v souladu s nařízením o digitálních trzích.

Ke kauze modelu Consent or Pay se vyjádřili i známí aktivisté v oblasti ochrany osobních údajů, nezisková organizace NYOB: v čele s Maxmiliánem Schremsem, známým zejména svými kampaněmi proti společnosti Meta za porušování soukromí, včetně porušování EU úpravy ochrany osobních údajů a problematiky předávání osobních údajů do USA, v rámci čehož je známý zejména soudními rozhodnutími Soudního dvora Evropské unie, pod názvy pod Schrems I. a Schrems II. NYOB a 27 dalších neziskových organizací sepsalo otevřený dopis, požadující vydání stanoviska EDPB, které by takovýto model v rámci EU znemožnilo.


Autor: Tereza Pechová, koncipientka Legitas



Cíl GPSR (General Product Safety Regulation) je mít bezpečné výrobky v rámci EU. Vztahuje se na non-food produkty. Pokud bude podezření, že by se mohlo jednat o nebezpečný produkt, pak na vás čekají nové kontrolní mechanismy a opatření. Pravidla platí od 13. 12. 2024.