Nytt yttrande om consent or pay och dataskydd -förespråkar ett tredje alternativ och möter kritik

Skrivet av Guest User

EDPB (Europeiska dataskyddsstyrelsen eller European Data Protection Board) har i dagarna kommit med ett yttrande angående affärsmodeller där användaren av en onlineplattform[1] kan välja mellan att ge sitt samtycke till beteendestyrd annonsering eller betala för att använda tjänsten (”Consent or Pay”). Beteendestyrd annonsering är beroende av att användarens aktivitet på plattformen spåras och att personuppgifter om denne samlas in.

Bakgrund

Facebook (Meta) har under förra året infört Consent or Pay, som svar på en dom från EU-domstolen som underkände spårning av användare på annan grund än samtycke. Bland Europeiska datatillsynsmyndigheter har det rått delade meningar om affärsmodellens förenlighet med GDPR, och därför begärde några av myndigheterna att EDPB skulle yttra sig i frågan. Att EDPB valt att yttra sig efter begäran ska ses som ett led i att säkerställa en enhetlig tillämpning av GDPR i EU.

Innehållet i yttrandet

EDPB:s ståndpunkt kan sammanfattas i att det normalt inte är möjligt för stora onlineplattformar att förena en sådan affärsmodell (Consent or Pay) med GDPR:s krav på ett giltigt samtycke. För att det ska gå behöver plattformen i princip också erbjuda ett alternativ som är både fritt från spårning och kostnadsfritt. Huvudsakligen baserar EDPB detta på att:

  • Samtycke måste vara frivilligt och fritt från påtryckningar. Påtryckningar kan bl a bestå i negativa konsekvenser som användaren drabbas av om den inte samtycker.

    Den tjänst som ges vid uteblivet samtycke måste vara likvärdig med den som ges till användare som samtycker, frånsett att den senare innehåller de element som samtycket avser. EDPB uttalar tydligt att personuppgifter inte ska användas som en handelsvara.  

    EDPB utesluter inte helt möjligheten att ta ut en avgift för en tjänst som inte innehåller beteendestyrd annonsering men en sådan avgift får inte hindra användarens fria val. Det är dock svårt att se hur en avgift, i enlighet med EDPB:s resonemang, inte skulle inverka på valet så länge valet står mellan:

    -              Frihet från beteendestyrda annonser mot en avgift, eller
    -              beteendestyrda annonser utan avgifter.

    Några faktorer som EDPB anser är relevanta för att avgöra om en avgift för att slippa spårning leder till negativa konsekvenser för användaren, av ett sådant slag att samtycket till spårning inte kan ges frivilligt:

    -              Om avgiften är orimligt hög,

    -              Om användarna på olika sätt är beroende av en viss plattform- t ex för viktig information eller för att delta i socialt liv,

    -              Om det finns inlåsningseffekter genom en lång tids användande och skapande av material på plattformen,

    -              Om uteblivet användande skulle få nätverkseffekter till följd av en spridd användning av plattformen i samhället. I den situationen kan det framstå som orealistiskt för användaren att inte använda plattformen i fråga eller att sluta använda den, och  

    -              Om det under en lång tid gått att använda plattformen utan avgifter.

  • Om tillhandahållandet av en tjänst är beroende av samtycke till behandling av personuppgifter som inte är nödvändig för att genomföra avtalet om att tjänsten ska tillhandahållas, talar detta för att samtycket inte kan ses som frivilligt. Det framgår av artikel 7.4 i GDPR och kan kallas för villkorlighet. Om ett alternativ finns där plattformen kan användas utan såväl spårning som avgifter kommer tillhandahållandet av tjänsten inte göras beroende av ett sådant villkorat samtycke. Om det enda valet är mellan spårning och avgifter är risken dock stor att samtycket ska ses som villkorat och därmed inte frivilligt.  

  • Stora onlineplattformar kan inneha en dominant position på marknaden, vilket leder till att användarna inte nödvändigtvis kan gå till en annan likadan plattform för att få den efterfrågade tjänsten. Detta kan ge upphov till en ojämlik maktbalans mellan onlineplattformen och dess användare. Ojämlikheten påverkar om samtycket kan anses ha getts frivilligt men utesluter inte i sig själv att det kan vara så. Detta ska för övrigt inte heller förstås som att förekomsten av likvärdiga plattformar utan spårning och avgifter skulle leda till att valet kan anses frivilligt.

  • Det är, enligt principen om ansvarsskyldighet, upp till onlineplattformen att visa att samtycket getts frivilligt. Vad gäller ojämlikhet, exempelvis, innebär det att innehavaren av onlineplattformen måste visa att det inte leder till några negativa konsekvenser alls för användaren om den inte samtycker. EDPB föreslår ett alternativ som är fritt från både spårning och avgifter för att kunna visa det.

Kritik mot EDPB:s yttrande

Yttrandet har redan hunnit få en rad kritiker, både från branschföreträdare och från akademiskt håll. Kritiken handlar bland annat om att EU-lagstiftaren sett till annan lagstiftning än GDPR förefaller vara öppen för consent or pay som affärsmodell; att yttrandet är ogenomtänkt vad gäller balansen mellan näringsfrihet och skydd för personuppgifter (närmare bestämt finns en oklarhet vad gäller inställningen till att stora onlineplattformar överhuvudtaget tar betalt för sina tjänster); att yttrandet är vagt utformat i centrala delar (t ex vad gäller när och varför ett ojämlikt maktförhållande föreligger mellan användare och plattform); innehåller ställningstaganden som går utöver vad tillsynsmyndigheterna kan uttala sig om eller bestämma över (t ex vad som är en ”lämplig avgift”); och missbedömer konsumenternas möjlighet att välja att gå till andra leverantörer. EDPB har också kritiserats för att vilja ge intrycket av att uttala sig generellt medan yttrandet i praktiken riktar sig mot Meta och att EDPB uttalar sig missvisande angående hur omfattande Metas spårning är.

 

[1] Onlineplattform definieras i artikel 3(1) Digital Services Act  ((EU) 2022/2065) som ”en värdtjänst som på begäran av en tjänstemottagare lagrar och sprider information till allmänheten /…/”. Undantaget är tjänster som endast är en obetydlig del av en annan tjänst. Några exempel på sådana plattformer är Facebook, X (f.d. Twitter), Instagram osv.

Guest User
Föregående

NIS2 uppdatering – nu har den första genomförandeakten publicerats!
Nästa

Supervalåret 2024 – stor ökning av desinformation och deepfakes