V internetovém prostředí se recentně začal výrazně častěji objevovat obchodní model „consent or pay“, který lze do češtiny přeložit jako „souhlas, nebo zaplať“. Podstata modelu je zjednodušeně řečeno taková, že uživatel konkrétní on-line platformy je povinen volit mezi zpoplatněným a bezplatným užíváním vybraných internetových stánek – v případě zpoplatnění platí penězi, v případě „bezplatného“ svými osobními údaji a svým soukromím.

Evropský sbor pro ochranu osobních údajů došel k závěru, že takový souhlas v obecné rovině nemusí být svobodný a tedy neplatný – zpracování osobních údajů na základě takto uděleného souhlasu je pak nezákonné.

Souhlas se sledováním spočívá v praxi v tom, že uživatel udělí souhlas se zpracováním svých osobních údajů (zpravidla za účelem tzv. cílené neboli zájmově orientované reklamy, k čemuž jsou používány údaje o návštěvách jednotlivých platforem a IP adresa daného uživatele), nebo má možnost uhradit poplatek (jednorázový či měsíční), za což bude daný uživatel „osvobozen“ od zpracování osobních údajů za určitým účelem, a tedy od cílené reklamy a tzv. cookies, které zaznamenávají informace o návštěvě uživatele konkrétní on-line platformy.

Ke zpracování osobních údajů tedy dochází na základě souhlasu subjektu osobních údajů – podmínky takového souhlasu stanoví článek 7 GDPR – kdy takový souhlas musí být mimo jiné svobodný a informovaný.

K tomuto modelu, který je v poslední době populární i u mnoha českých on-line platforem, bylo přijato stanovisko Evropského sboru pro ochranu osobních údajů[1] (dále též „EDPB“) a to za účelem posuzování platnosti souhlasu uděleného uživatelem s nařízením GDPR[2]. EDPB ve svém stanovisku č. 08/2024[3] ze 17. dubna 2024 vydaném v souladu s čl. 64 odst. 2 nařízení GDPR k žádostem nizozemského, norského a německého úřadu pro ochranu údajů zaujal názor, že „…ve většině případů nebude možné, aby velké online platformy splňovaly požadavky na platný souhlas, pokud konfrontují uživatele pouze s binární volbou mezi udělením souhlasu se zpracováním osobních údajů pro účely behaviorální reklamy a zaplacením poplatku.“

Zásadním pro posouzení platnosti souhlasu z hlediska nařízení GDPR byla pro EDPB otázka, zdali souhlas se zpracováním svých osobních údajů, který uživatel stisknutím tlačítka dává, lze označit jako svobodný. Na první pohled je zřejmé, že uživatel webu a on-line platforma nejsou v rovném postavení, neboť on-line platforma má vůči uživateli silnější postavení, což lze spatřovat mimo jiné i v tom, že v případě neudělení souhlasu a zároveň nezaplacení poplatku není uživateli přístup na danou on-line platformu povolen.

Důležitým aspektem, který byl EDPB nucen při přezkumu vzít v potaz, byla i výše poplatku, který je uživatel povinen uhradit, chce-li být „ušetřen“ cílené reklamy a cookies. Všechny tyto okolnosti jsou v souhrnu stěžejní pro rozhodnutí o tom, zda je souhlas udělen svobodně, a tedy v souladu s nařízení GDPR.

Dalším, z pohledu posouzení souladnosti s nařízením GDPR, klíčovým faktorem byla otázka, zda lze souhlas označit za dostatečně informovaný. Za dostatečně informovaný je možné označit takový souhlas, který uživatel dá, disponuje-li srozumitelnými a jasnými informacemi o tom, jak bude s jeho osobními údaji dále nakládáno. Zde přitom vyplývá, že uživatel si často není vědom toho, že jeho osobní údaje o tom, jaké všechny webové stránky si prohlížel, jsou shromažďovány, tříděny a dále vyhodnocovány, a to primárně za účelem tzv. behaviorální neboli cílené reklamy.

EDPB ve stanovisku dále připomíná, že „osobní údaje nelze považovat za obchodovatelné komodity a je třeba zabránit tomu, aby se základní právo na ochranu údajů přeměnilo na prvek, který musí subjekty údajů zaplatit.“ V tomto kontextu je dle názoru EDPB nabídka (pouze) placené alternativy služby, která zahrnuje zpracování pro účely cílené reklamy nedostačující a on-line platformy by měly zvážit poskytnutí „rovnocenné alternativy“, která nevyžaduje zaplacení poplatku (např. včetně jiné formy reklamy, která není cílenou reklamou a nevyžaduje tedy zcela či pouze v omezené míře zpracování osobních údajů), subjektům údajů s cílem zajistit skutečnou volbu a vyhnout se tomu, aby uživatelé měli možnost binární volby mezi zaplacením poplatku a souhlasem se zpracováním pro účely cílené reklamy, což je podle EDPB zvláště klíčový prvek při posuzování kritérií pro platnost souhlasu dle nařízení GDPR.[4]

Na místě je nutno uvést, že stanovisko EDPB nenutí on-line platformy nabízet své služby zcela zdarma, ani tento model získávání souhlasu se zpracováním osobních údajů nikterak nezakazuje, neboť takovou pravomocí EDPB dokonce ani nedisponuje, nýbrž EDPB vyjádřilo toliko hranice a nastavilo mantinely, v rámci kterých je nutné tento model užívat.

Lze shrnout, že stávající model „souhlas, nebo zaplať“ může být jednoznačně v rozporu s nařízením GDPR, neboť lze mít za to, že souhlas daný uživatelem nemusí být za všech okolností svobodný a dostatečně informovaný. Současně je nutné zvážit, že neudělení souhlasu a nezaplacení poplatku vede k znepřístupnění platformy a de facto do doby učinění volby též k vyloučení uživatele z možnosti přijímat dané služby. Přitom je třeba připomenout, že právo na ochranu osobních údajů je jedním ze základních lidských práv, které je explicitně zakotveno v čl. 8 Listiny základních práv EU[5], a proto by se nemělo stát obchodovatelným zbožím (byť tomu tak již pomnohu je).

Současně je třeba nicméně konstatovat, že stanovisko EDPB se v žádné formě nezabývá zásahem takového výkladu do základní svobody podnikání, a to ani v rovině úvahy – kdy jednoznačně upřednostňuje základní právo na ochranu soukromí.

Závěrem je nutno uvést, že ke konkretizaci právního rámce ochrany osobních údajů vyloženého stanoviskem EDPB č. 08/2024 bude docházet až dozorovou a aplikační činností jednotlivých evropských dozorových úřadů, a proto je nezbytné tuto činnost dále bedlivě sledovat.

Tým AK Sudolská

---

[1]https://european-union.europa.eu/institutions-law-budget/institutions-and-bodies/search-all-eu-institutions-and-bodies/european-data-protection-board-edpb_cs.

[2] https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=celex%3A32016R0679.

[3] https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en.

[4] https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

[5] https://fra.europa.eu/cs/eu-charter/article/8-ochrana-osobnich-udaju.

Další články