Корректировки в модели получения согласия “Pay or okay” от Европейского надзорного органа (EDPB)
- 30 мая, 2024
- Бизнес, Маркетинг, Обработка данных, Разъяснение
Автор: Анастасия Марковская, GDPR DPP, GDPR DPT, GDPR DPM, ведущий юрисконсульт и DPO крупного маркетплейса в Республике Беларусь
В конце октября 2023 года компания Meta предложила пользователям из Европейского союза при получении их согласия на обработку персональных данных сделать выбор:
📎 согласиться на обработку персональных данных для цели показа поведенческой рекламы и использовать Facebook или Instagram*;* или
📎 отказаться от обработки персональных данных для цели показа поведенческой рекламы и оплатить за дальнейшее использование Facebook или Instagram; или
📎 отказаться от использования Facebook или Instagram.
Примеру Meta последовали и другие онлайн-сервисы.
В последствии такая модель получения согласия на обработку персональных данных приобрела название “Pay or okay”.
Для того, чтобы пресечь практику предоставления субъектами “несвободного” согласия, как это описано выше, 17 апреля 2024 года EDPB опубликовал разъяснение, описывающее условия, при которых использование платной версии получения согласия на обработку персональных данных для целей поведенческой рекламы может соответствовать требованиям GDPR.
Ниже приведено summary данного разъяснения.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Мнение EDPB относительно использования моделей “Pay or okay”
EDPB не одобрил практику “Pay or okay” в том виде, как она была реализована компанией Meta и другими онлайн-сервисами.
По мнению EDPB, если субъект данных отказывается дать согласие или отзывает его, а также не вносит требуемую плату, он не воспользуется услугой, что будет представлять собой ущерб для субъекта данных. В этих случаях различные факторы могут привести к тому, что субъект данных окажется в невыгодном положении.
В пунктах 86-92 разъяснения описываются подробные возможные негативные последствия для субъекта данных при использовании моделей “Pay or okay”, связанных с поведенческой рекламой.
В пункте 180 разъяснения EDPB напоминает, что персональные данные нельзя рассматривать как товар и крупные онлайн-платформы должны помнить о необходимости предотвращения трансформации фундаментального права на защиту данных в функцию, за пользование которой субъекты данных должны платить. Поэтому предложение только платной альтернативы услуге, включающей обработку данных в целях поведенческой рекламы, не должно быть для контролеров стандартным способом. Напротив, при разработке альтернативы версии сервиса с поведенческой рекламой крупные онлайн-платформы должны рассмотреть возможность предоставления субъектам данных «эквивалентной альтернативы», не требующей оплаты (например, включения другой формы рекламы, не являющейся поведенческой рекламой).
Какие онлайн-сервисы подпадают под действие данного разъяснения?
Обобщенный ответ: Контролеры крупных онлайн-платформ подпадают под действие данного разъяснения.
Если Ваша компания рассматривает рекомендации из заключения EDPB с целью внедрения новых функций в интернет-сервисе, то нужно ответить на вопросы:
1. Является ли этот онлайн-сервис онлайн-платформой?
2. Является ли онлайн-платформа крупной?
Подсказка для ответа на вопрос 1:
Для целей данного разъяснения EDPB в пункте 23 предлагает рассматривать определение понятия “Онлайн-платформа” из статьи 3(i) The Digital Services Act, но не ограничиваться только им. Однако в разъяснении не приведены критерии, на основе которых можно понять, что еще входит в этот термин. Возможно дополнительное разъяснение по этому вопросу EDPB подготовит позже. Рассмотрим определение из статьи 3(i) Digital Services Act.
«Онлайн-платформа» означает хостинг-сервис, который по запросу ее получателя хранит и распространяет информацию среди общественности, если только эта деятельность не является незначительной и чисто вспомогательной функцией другой услуги или незначительной функциональностью основной услуги и по объективным и техническим причинам не может быть использована без этой другой услуги, а интеграция функции или функциональности в другую услугу не является средством обхода применимости настоящего Регламента.
Подсказки для ответа на вопрос 2:
В случае утвердительных (положительных) ответов на оба вопроса выше, прежде чем имплементировать в интернет-cервис функционал, который “одобряется” рассматриваемым разъяснением, контролеру для соблюдения принципа подотчетности (статья 5(2) GDPR) следует создать подтверждающую документацию на соответствие интернет-сервиса контролера понятию “Крупная онлайн-платформа” в соответствии с пунктами 22 — 28 разъяснения.
Пункты 25-28 разъяснения выделяют некоторые критерии, которые необходимо оценить в каждом конкретном случае, чтобы определить, следует ли считать контролера «крупной онлайн-платформы».
Критерий 1: Платформы, которые привлекают большое количество субъектов данных в качестве своих пользователей.
Критерий 2: Положение компании на рынке — еще один элемент, который может иметь значение для оценки того, можно ли считать контролера «крупной онлайн платформой».
Критерий 3: Осуществляется крупномасштабная обработка персональных данных. Для этого критерия целесообразно использовать заключение the Article 29 Working Party, в котором описываются признаки large scale.
Критерий 4. Крупными онлайн-платформами также могут являться контролеры очень крупных онлайн-платформ или “gatekeepers”. Согласно статье 33 Digital Services Act, очень крупными онлайн-платформами являются те, у которых среднемесячное число пользователей из Европейского союза равно или превышает 45 миллионов. Критерии определения “gatekeepers” описаны в статье 2 и 3 Digital Markets Act.
Также в разъяснении подчеркивается, что приведенный список критериев не является исчерпывающим и не представляет собой перечень совокупных требований. Скорее, этот список элементов призван дать представление об аспектах, которые могут привести к рассмотрению контроллера в качестве «крупной онлайн-платформы».
Как может работать эквивалентная “платной” версии бесплатная альтернатива крупной онлайн-платформы?
Согласно разъяснению (п. 75) такая альтернатива не должна предусматривать обработку данных в целях поведенческой рекламы и может быть, например, версией сервиса с другой формой рекламы, предполагающей обработку меньшего количества персональных данных (или вообще без них). Например, контекстная реклама.
В альтернативной (бесплатной) версии онлайн-сервису целесообразно использовать собственный инструмент (баннерокрутилка) для показа контекстной или общей рекламы пользователям.
Правила получения согласий от субъектов данных при использовании моделей “Pay or okay”
Исходя из разъяснения выше, в случае использования контролерами крупных онлайн-платформ платной версии одобренной EDPB модели “pay or okay” им нужно будет предоставить своим пользователям cookie-баннер, в котором для целей показа поведенческой рекламы должны быть доступны следующие опции для выбора:
📎 согласиться с использованием файлов cookies и/или других трекеров для цели показа поведенческой рекламы без внесения платы за выбор этой опции;
📎 отказаться полностью от обработки файлов cookies и/или других трекеров для цели показа рекламы с внесением разумного размера платы за выбор этой опции;
📎 отказаться от обработки файлов cookies для цели показа поведенческой рекламы, без внесения платы за выбор этой опции. (бесплатная альтернативная версия крупной онлайн-платформы).
Приведенное описание выше можно назвать “одобряемой версией модели “pay or okay” EDPB”.
В пункте 154 разъяснения EDPB отмечает, что крупные онлайн-платформы должны предоставлять полную информацию до начала обработки данных в целях поведенческой рекламы. Они могут, например, представить краткое резюме различий между каждым вариантом, предлагаемым в модели «pay or okay», а затем предоставить полную и подробную информацию по каждому с помощью отдельных кнопок.
Согласно пункту 160 разъяснения, контроллеры могут использовать различные каналы информирования в зависимости от типа предоставляемой онлайн-платформы. Например, информация может быть предоставлена субъектам данных с помощью видеороликов, объясняющих различия между альтернативами, или интерактивных страниц с примерами того, как будет выглядеть услуга при различных вариантах. Контролеры могут рассмотреть возможность проведения пользовательских тестов для определения наиболее подходящего канала информирования.
Субъекту данных должно быть ясно:
для каких целей собираются его данные;
какие данные собираются для каждой цели и почему (из пункта 148);
за что именно субъект данных будут вносить плату и как это повлияет на обработку данных (из пункта 150).
Пункт 168 разъяснения напоминает контролерам, что пользователи могут быть введены в заблуждение, если онлайн-сервис предоставляет двусмысленную информацию о согласии.
Например, это может происходить, если согласие собирается с помощью таких формулировок, как «просто продолжить» или «продолжить без оплаты». Неоплата подчеркивается таким образом, что становится неясным выбор бесплатной опции, подразумевающей согласие.
Чтобы обеспечить однозначное выражение желания, контролеры должны избегать подобных dark patterns при реализации одобряемой EDPB версии модели “pay or okay”.
В своем разъяснении EDPB неоднократно отмечает, что при имплементации контролерами крупных онлайн-платформ одобряемой EDPB версии модели “pay or okay” должен соблюдаться каждый принцип обработки персональных данных, указанный в статье 5 GDPR. Наиболее подробно этот вопрос раскрывается в пункте 183 разъяснения.
Разграничение целей обработок
В 140 пункте разъяснения EDPB напоминает, что субъекты данных должны быть свободны в выборе цели, на которую они согласны, а не сталкиваться с одним запросом на согласие, объединяющим несколько целей. В этой связи следует сделать акцент на разграничении целей, связанных с функциональностью услуги, от целей поведенческой рекламы и сопровождающих ее операций по обработке данных.
Крупные онлайн-платформы должны точно определить и разграничить цели своей деятельности по обработке данных.
Цели поведенческой рекламы должны быть представлены контролером таким образом, чтобы пользователь мог понять, какие действия по обработке данных осуществляются для каждой цели, и решить, давать ли свое согласие (из пункта 162).
Также подробные описания требований для выполнения действительных согласий указаны в пункте 182 разъяснения.
Как будет работать одобренная EDPB версия модели “Pay or okay” в случае отзыва субъектом согласия?
Порядок предоставления отзыва согласия субъекту контролером крупной онлайн-платформы подробно описывается в пунктах 169-176 разъяснения.
В п. 172 разъяснения в контексте одобряемой EDPB версии модели “Pay or okay” отмечается, субъект может изъявить желание продолжать использовать онлайн-сервис после отзыва согласия, поэтому важно предоставить прозрачную и четко распознаваемую информацию о том, как может быть реализовано право на отзыв, чтобы не создавалось впечатление, что отзыв автоматически приведет к подключению платной подписки.
В таких случаях осуществление права на отзыв приведет к тому, что пользователь снова окажется перед выбором: дать согласие на обработку данных в целях поведенческой рекламы или оформить платную подписку или выбрать бесплатную альтернативу без поведенческой рекламы.
Таким образом, при отзыве согласия важно, чтобы у субъекта также был свободный выбор: осуществлять оплату или использовать альтернативную (бесплатную) версию без поведенческой рекламы.
Консалтинг по национальным законам
Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.
Ценообразование за платную версию, которая не включает обработку персональных данных
Разъяснение не содержит прямых критериев, по которым может определяться ценообразование за платную версию (без поведенческой рекламы) крупной онлайн-платформой.
В соответствии с пунктом 132 разъяснения контролеры должны в каждом конкретном случае оценивать, уместна ли плата вообще и какой размер уместен в данных обстоятельствах.
При формировании ценообразования в соответствии с пунктом 136 разъяснения контролеры вправе устанавливать собственные цены и выбирать модели получения прибыли, но это право должно быть сбалансировано с фундаментальным правом отдельных лиц на защиту их персональных данных.
В то же время контролеры должны документировать свой выбор и оценку того, является ли данная плата уместной в конкретном случае для демонстрации того, что взимание платы не подрывает возможность свободного согласия в данной ситуации.
EDPB не исключает, что надзорные органы вправе обращаться за консультацией относительно ценообразования в иные компетентные органы (органы по защите прав потребителей и антимонопольные органы), поэтому вполне возможно, что в ближайшем будущем будут подготовлены дополнительные разъяснения надзорных органов с критериями ценообразования для платной версии крупной онлайн-платформы (не предполагающей обработку персональных данных для целей показа рекламы).
Подробно вопрос ценообразования раскрывается в пунктах 130-138 разъяснения.
Как регулируется обработка персональных данных детей при использовании модели “pay or okay”?
В соответствии с пунктом 64 рассматриваемого разъяснения, дети пользуются особой защитой, особенно в отношении профилирования и маркетинговых целей. В частности, дети не должны подвергаться поведенческой рекламе, и, как следствие, не должны сталкиваться с моделями «соглашайся или плати».
Как быть контролерам крупных онлайн-платформ, которые уже получили согласие по устаревшей модели “Pay or okay”? И когда новые правила вступят в силу?
Разъяснение не содержит ответов на данные вопросы. Однако контролирующие органы, вероятно, уже могут предъявлять санкции к контролерам, у которых не работает версия сайта, эквивалентная платной (то есть без поведенческой рекламы), в соответствии с указанным разъяснением. Поэтому компаниям уже стоит начать разработку новой версии сайта или переходить на классическую модель получения согласия без взимания какой-либо оплаты за версию без поведенческой рекламы.