Bruxelles, den 17. april —Databeskyttelsesrådet vedtog på sit seneste plenarmøde en udtalelse efter en anmodning fra de nederlandske, norske og Hamburgs databeskyttelsesmyndigheder i henhold til artikel 64, stk. 2, i GDPR. Udtalelsen omhandler gyldigheden af samtykke til behandling af personoplysninger med henblik på adfærdsbaseret annoncering i forbindelse med "samtykke- eller betalingsmodeller", der anvendes af store onlineplatforme.
Databeskyttelsesrådets formand, Anu Talus, sagde: "Onlineplatforme bør give brugerne et reelt valg, når de anvender "samtykke- eller betalingsmodeller". De modeller, vi har i dag, kræver normalt, at enkeltpersoner enten giver væk alle deres data eller betaler. Som følge heraf giver de fleste brugere samtykke til behandlingen for at bruge en tjeneste, og de forstår ikke de fulde konsekvenser af deres valg."
For så vidt angår "samtykkes- eller betalingsmodeller", der gennemføres af store onlineplatforme, mener Databeskyttelsesrådet, at det i de fleste tilfælde ikke vil være muligt for dem at overholde kravene om gyldigt samtykke, hvis de kun konfronterer brugerne med et valg mellem at give samtykke til behandling af personoplysninger til adfærdsmæssige reklameformål og at betale et gebyr.
Databeskyttelsesrådet mener, at der kun bør tilbydes et betalt alternativ til tjenester, der omfatter behandling af personoplysninger til adfærdsmæssige reklameformål, ikke bør være standardvejen frem for de dataansvarlige. Når der udvikles alternativer, bør store onlineplatforme overveje at give enkeltpersoner et "tilsvarende alternativ", som ikke medfører betaling af et gebyr. Hvis dataansvarlige vælger at opkræve et gebyr for adgang til det "tilsvarende alternativ", bør de overveje at tilbyde et yderligere alternativ. Dette gratis alternativ bør være uden adfærdsmæssig reklame, f.eks. med en form for reklame, der involverer behandling af færre eller ingen personoplysninger. Dette er en særlig vigtig faktor i vurderingen af gyldigt samtykke i henhold til GDPR.
Databeskyttelsesrådet understreger, at indhentning af samtykke ikke fritager den dataansvarlige fra at overholde alle de principper, der er skitseret i artikel 5 i GDPR, såsom formålsbegrænsning, dataminimering og rimelighed. Desuden bør store onlineplatforme også overveje overholdelse af principperne om nødvendighed og proportionalitet, og de er ansvarlige for at påvise, at deres behandling generelt er i overensstemmelse med GDPR.
For så vidtangår behovet for, at samtykket skal være frit, bør følgende kriterier tages i betragtning: konditionalitet, skade, magtubalance og granularitet. Databeskyttelsesrådet påpeger f.eks., at et gebyr, der opkræves, ikke kan få enkeltpersoner til at føle sig tvunget til at give deres samtykke. De registeransvarlige bør fra sag til sag vurdere, om et gebyr overhovedet er passende, og hvilket beløb der er passende under de givne omstændigheder. Store onlineplatforme bør også overveje, om beslutningen om ikke at give samtykke kan få den enkelte til at lide under negative konsekvenser, såsom udelukkelse fra en fremtrædende tjeneste, manglende adgang til professionelle netværk eller risiko for at miste indhold eller forbindelser. Databeskyttelsesrådet bemærker, at der sandsynligvis vil opstå negative konsekvenser, når store onlineplatforme anvender en "samtykke- eller betalingsmodel" til at indhente samtykke til behandlingen.
De dataansvarlige skal også fra sag til sag vurdere, om der er en magtbalance mellem den enkelte og den dataansvarlige. De faktorer, der skal vurderes, omfatter de store onlineplatformes position på markedet, i hvilket omfang den enkelte er afhængig af tjenesten, og tjenestens vigtigste målgruppe.
Desuden indeholder Databeskyttelsesrådet elementer til vurdering af kriterierne for informeret, specifikt og utvetydigt samtykke, som store onlineplatforme bør tage hensyn til, når de gennemfører "samtykke- eller betalingsmodeller".
Formanden for Databeskyttelsesrådet, Anu Talus, tilføjede: "De registeransvarlige bør til enhver tid være opmærksomme på ikke at omdanne den grundlæggende ret til databeskyttelse til et element, som enkeltpersoner skal betale for at nyde godt af. Enkeltpersoner bør gøres fuldt ud opmærksomme på værdien og konsekvenserne af deres valg."
Ud over denne udtalelse i artikel 64, stk. 2, vil Databeskyttelsesrådet også udarbejde retningslinjer for "samtykke eller løn"-modeller med et bredere anvendelsesområde og samarbejde med interessenter om disse kommende retningslinjer.
Redaktørens notat:
Databeskyttelsesrådet blev anmodet om at afgive denne udtalelse i henhold til artikel 64, stk. 2, i GDPR for at behandle gyldigheden af samtykke i forbindelse med "samtykke eller betal"-modeller, der anvendes af store onlineplatforme, når der anmodes om samtykke til at behandle personoplysninger med henblik på adfærdsbaseret annoncering, også i lyset af EU-Domstolens Bundeskartellamt-dom (C-252/21).
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.