Vandaag heeft de EDPB zijn eerste beslissing gepubliceerd over "Pay or Okay" met betrekking tot grote online platformen zoals Instagram en Facebook, zoals eerst gemeld door Politico. Deze beslissing verbiedt Meta om gebruik te maken van een onrechtmatig toestemmingsverzoek voor het verwerken van persoonlijke gegevens. Het lijkt erop dat Meta inmiddels geen opties meer heeft om de gegevens van mensen te blijven gebruiken voor advertenties in de EU zonder een toestemmingsmechanisme dat daadwerkelijk voldoet aan de wet.
Advies over grote online platforms. Zoals betoogd in eerdere zaken die zijn aangespannen door noyb, lijkt de EDPB de enige logische interpretatie van de term "vrijelijk gegeven toestemming" te hebben gevolgd bij het analyseren van Meta's "Pay or Okay" systeem, dat gebruikers meer dan € 250 per jaar in rekening bracht voor Instagram en Facebook als ze niet "vrijelijk" toestemming gaven voor het gebruik van hun persoonlijke gegevens. Politico citeert de EDPB als ze zegt:"In de meeste gevallen zal het voor grote online platforms niet mogelijk zijn om te voldoen aan de vereisten voor geldige toestemming als ze gebruikers alleen confronteren met een binaire keuze tussen toestemming geven voor het verwerken van persoonlijke gegevens voor reclame op basis van gedrag en het betalen van een vergoeding".
Max Schrems:"Over het geheel genomen heeft Meta geen opties meer in de EU. Het moet gebruikers nu een echte ja/nee-optie geven voor gepersonaliseerde advertenties. Het kan nog steeds sites laten betalen voor bereik, zich bezighouden met contextuele reclame en dergelijke - maar voor het volgen van mensen voor advertenties is een duidelijk 'ja' van gebruikers nodig."
Discussie verklaard - bewijs nodig. Het EDPB-advies van vandaag zal nader moeten worden geanalyseerd zodra het volledig is gepubliceerd. Het zal waarschijnlijk slechts een startpunt zijn voor een bredere discussie over "Pay or Okay" in verschillende contexten, aangezien de EDPB van plan is om later dit jaar verdere richtsnoeren uit te brengen die verder gaan dan "grote online platforms". De kernvraag blijft of een "Pay or Okay"-model kan voldoen aan de wettelijke eis dat toestemming "vrijelijk gegeven" moet zijn en dat de "werkelijke wensen" van de gebruikers worden gerespecteerd. Toestemming geven voor de verwerking van persoonsgegevens is immers een beslissing om het fundamentele recht op gegevensbescherming op te geven. Gewoonlijk kunnen grondrechten niet worden "verkocht" of alleen tegen betaling worden verleend. De EDPB heeft tot nu toe grotendeels in het luchtledige beslist, zonder onafhankelijk en alomvattend bewijs van hoe een "Pay or Okay"-model ingrijpt in de echte en vrije keuze van gebruikers.
Max Schrems, voorzitter van noyb:"We zijn blij dat de EDPB een meer genuanceerde discussie over 'pay or okay' is begonnen en in ieder geval heeft verduidelijkt dat grote platforms geen gebruik kunnen maken van 'pay or okay'. We zijn echter bezorgd dat het eerste advies van vandaag nogal voorzichtig is en gebaseerd is op beperkte feiten. Zodra alle feiten op tafel liggen, hebben we er alle vertrouwen in dat 'Pay or Okay' over de hele linie onwettig zal worden verklaard. We weten dat 'Pay or Okay' de toestemmingspercentages verschuift van ongeveer 3% naar meer dan 99% - het is dus net zo ver verwijderd van 'vrij gegeven' toestemming als Noord-Korea verwijderd is van een democratie. Het is cruciaal om alle relevante cijfers te krijgen voor verdere beslissingen die verder gaan dan Meta en grotere platforms."
Derde optie nodig. De EDPB noemde ook de mogelijkheid om een derde optie te introduceren naast "Pay or Okay", die tot nu toe grotendeels is genegeerd door de industrie. In feite zijn er veel manieren om geld te verdienen met een website, zoals contextuele reclame, productplaatsing, betaalde content of freemiummodellen waarbij bepaalde content alleen beschikbaar is tegen betaling. Terwijl de industrie de discussie probeert te beperken tot twee opties ("betalen" of "oké"), heeft de EDPB benadrukt dat de GDPR geen beperkingen oplegt aan andere manieren om producten te financieren - ook al zijn ze misschien minder winstgevend.
Pay or Okay is het einde van "vrij gegeven" toestemming. Zoals we de afgelopen maanden hebben gewaarschuwd, leidt "Pay or Okay" tot enorme kosten voor consumenten (al gauw € 35.263,20 voor een gezin van vier), die veel hoger zijn dan de huidige advertentie-inkomsten van uitgevers, die vaak maar een paar cent bedragen. De huidige gemiddelde inkomsten voor programmatic advertising in de EU bedragen € 1,41 per gebruiker - voor alle websites per maand. In landen als Oostenrijk, Duitsland, Frankrijk, Spanje of Italië kan het bezoeken van de top 100 websites al meer dan € 1.500 per jaar kosten als je geen toestemming geeft voor tracking. In de achtergrondvideo van vorige week belichtten we ook de problematische besluitvormingsdynamiek van "Pay or Okay", die de "vrije wens" van gebruikers verandert van 3% die gepersonaliseerde reclame wil tot wel 99,9% die (onwillig) op "akkoord" klikt als het alternatief een fikse rekening is.
Max Schrems:"Als meer dan 90% van de gebruikers instemt met iets wat ze niet willen, heb je geen advocaat nodig om te zien dat het geen 'vrij gegeven' toestemming is. In feite is dit, 5 jaar nadat de GDPR van kracht werd, gewoon de nieuwste 'truc' om de EU-wetgeving te ondermijnen, of op zijn minst de naleving ervan nog een paar jaar uit te stellen. Het is zeer problematisch dat de autoriteiten hierover nog geen duidelijk standpunt hebben ingenomen. In de zaken die we hebben aangespannen in Oostenrijk of Duitsland, zien we eerder dat de autoriteiten een oogje dichtknijpen voor 'Pay or Okay' omdat het eerst werd geïntroduceerd door de nieuwsmedia, waar ze zich niet mee willen bemoeien - ook al is de wet voor iedereen hetzelfde."
Achtergrond. Tot de GDPR op 25 mei 2018 van toepassing werd, gebruikte Meta "toestemming" onder artikel 6(1)(a) GDPR als rechtsgrondslag voor het verwerken van persoonsgegevens van gebruikers, bijvoorbeeld voor advertenties. Onder de GDPR zou toestemming specifiek, geïnformeerd, ondubbelzinnig en vrij gegeven moeten zijn. Meta vreesde, dat het geven van zo'n ja/nee optie aan gebruikers hun mogelijkheden om geld te verdienen in de EU zou beperken, dus om middernacht op 25 mei 2018 begon Meta te beargumenteren dat het onderdeel was van het gebruikerscontract om advertenties te tonen, met behulp van artikel 6(1)(b) GDPR. Dit werd in 2023 onwettig verklaard door het Hof van Justitie van de Europese Unie (HvJEU) en de European Data Protection Board (EDPB). In 2023 voerde Meta vervolgens kortstondig aan dat het een "legitiem belang" had om persoonsgegevens te verwerken voor reclame op grond van artikel 6, lid 1, onder f) GDPR, totdat het begon terug te vallen op "toestemming" op grond van artikel 6, lid 1, onder a) GDPR - door gebruikers te vragen toestemming te geven of een vergoeding te betalen van maximaal € 20,99 voor Instagram en Facebook samen.
De Noorse, Nederlandse en Hamburgse gegevensbeschermingsautoriteiten hebben "Pay or Okay" terugverwezen naar de EDPB, die nu een besluit heeft genomen. Al deze pogingen om de wet te omzeilen zijn gedaan met de actieve steun van de Ierse Data Protection Commission (DPC), als de belangrijkste toezichthouder van Meta's EU-hoofdkantoor in Ierland. Al deze "overeenkomsten" met de Ierse toezichthouder werden later onwettig bevonden door de EDPB of het HvJEU.