Idag har EDPB utfärdat sitt första beslut om "Pay or Okay" i förhållande till stora onlineplattformar som Instagram och Facebook, vilket först rapporterades av Politico. Detta beslut förbjuder Meta att använda en olaglig begäran om samtycke till behandling av personuppgifter. Det verkar som om Meta vid det här laget har slut på alternativ för att fortsätta använda människors data för reklam i EU utan en samtyckesmekanism som faktiskt följer lagen.
Yttrande om stora onlineplattformar. Som hävdats i tidigare mål som väckts av noyb verkar EDPB ha följt den enda logiska förståelsen av termen "fritt givet samtycke" när man analyserade Metas "Pay or Okay"-system, som debiterade användare mer än 250 euro per år för Instagram och Facebook om de inte "fritt" samtyckte till användningen av sina personuppgifter. Politico citerar EDPB som säger"I de flesta fall kommer det inte att vara möjligt för stora onlineplattformar att uppfylla kraven på giltigt samtycke om de endast konfronterar användarna med ett binärt val mellan att samtycka till behandling av personuppgifter för beteendebaserade reklamändamål och att betala en avgift".
Max Schrems:"Sammantaget har Meta inga alternativ i EU. Det måste nu ge användarna ett äkta ja / nej-alternativ för personlig reklam. Det kan fortfarande debitera webbplatser för räckvidd, engagera sig i kontextuell reklam och liknande - men att spåra människor för annonser behöver ett tydligt "ja" från användarna."
Diskussionen är klar - bevis behövs. Dagens yttrande från Europeiska dataskyddsstyrelsen kommer att behöva analyseras mer i detalj när det har publicerats i sin helhet. Det är troligt att det bara är en startpunkt för en bredare diskussion om "Pay or Okay" i olika sammanhang, med tanke på att EDPB avser att utfärda ytterligare riktlinjer senare i år som går utöver "stora onlineplattformar". Kärnfrågan är fortfarande om en "Pay or Okay"-modell kan uppfylla det rättsliga kravet på att samtycket ska vara "frivilligt" och att användarnas "verkliga önskemål" ska tillgodoses. Att samtycka till behandling av personuppgifter är trots allt ett beslut om att ge upp den grundläggande rätten till dataskydd. Vanligtvis kan grundläggande rättigheter inte "säljas" eller endast beviljas mot en avgift. EDPB har hittills i stor utsträckning fattat beslut i ett vakuum, utan oberoende och omfattande bevis för hur en "Pay or Okay"-modell påverkar användarnas verkliga och fria val.
Max Schrems, ordförande i noyb:"Vi välkomnar att EDPB har inlett en mer nyanserad diskussion om "pay or okay" och åtminstone klargjort att stora plattformar inte kan använda "pay or okay". Vi är dock bekymrade över att dagens första yttrande är ganska försiktigt och baseras på begränsade fakta. När alla fakta väl ligger på bordet är vi övertygade om att "Pay or Okay" kommer att förklaras olagligt över hela linjen. Vi vet att "Pay or Okay" ändrar samtyckesgraden från cirka 3 procent till mer än 99 procent - så det är lika långt från ett "fritt givet" samtycke som Nordkorea är från en demokrati. Det är avgörande att få alla relevanta siffror för ytterligare beslut bortom Meta och större plattformar."
Ett tredje alternativ behövs. EDPB nämnde också möjligheten att införa ett tredje alternativ utöver "Pay or Okay", som hittills i stort sett har ignorerats av branschen. Det finns faktiskt många sätt att tjäna pengar på en webbplats, t.ex. kontextuell reklam, produktplacering, betalt innehåll eller freemium-modeller där visst innehåll endast är tillgängligt mot en avgift. Medan branschen försöker begränsa diskussionen till två alternativ ("betala" eller "okej"), har EDPB betonat att GDPR inte begränsar andra sätt att finansiera produkter - även om de kan vara mindre lönsamma.
Pay or Okay är slutet för det "fritt givna" samtycket. Som vi har varnat för de senaste månaderna leder "Pay or Okay" till enorma kostnader för konsumenterna (lätt 35 263,20 euro för en familj på fyra personer), som vida överstiger utgivarnas nuvarande annonsintäkter, som ofta bara uppgår till några få cent. Den nuvarande genomsnittliga intäkten för programmatisk annonsering i EU är 1,41 euro per användare - på alla webbplatser per månad. I länder som Österrike, Tyskland, Frankrike, Spanien eller Italien kan ett besök på de 100 största webbplatserna redan kosta mer än 1 500 euro per år om man inte samtycker till spårning. I förra veckans bakgrundsvideo belyste vi också den problematiska beslutsdynamiken i "Pay or Okay", som ändrar användarnas "fria vilja" från 3 procent som vill ha personligt anpassad reklam till upp till 99,9 procent som (motvilligt) klickar på "agree" om alternativet är en saftig räkning.
Max Schrems:"När mer än 90 % av användarna samtycker till något de inte vill ha behöver man inte vara jurist för att se att det inte är ett "frivilligt" samtycke. Faktum är att 5 år efter att GDPR trädde i kraft är detta bara det senaste "tricket" för att undergräva EU-lagstiftningen, eller åtminstone fördröja efterlevnaden i ytterligare några år. Det är mycket problematiskt att myndigheterna inte redan har intagit en tydlig ståndpunkt i denna fråga. I de fall vi har drivit i Österrike eller Tyskland ser vi snarare att myndigheterna blundar för "Pay or Okay" eftersom det först introducerades av nyhetsmedierna, som de inte vill lägga sig i - trots att lagen är densamma för alla."
Bakgrund. Fram till dess att GDPR blev tillämplig den 25 maj 2018 har Meta använt "samtycke" enligt artikel 6.1 (a) GDPR som rättslig grund för behandling av användarnas personuppgifter, till exempel för reklam. Enligt GDPR skulle samtycke behöva vara specifikt, informerat, otvetydigt och fritt givet. Meta fruktade att om man gav användarna ett sådant ja/nej-alternativ skulle det begränsa deras möjligheter att tjäna pengar i EU, så vid midnatt den 25 maj 2018 började Meta hävda att det var en del av användaravtalet att visa annonser, med hjälp av artikel 6.1 b GDPR. Detta förklarades olagligt av Europeiska unionens domstol (CJEU) och Europeiska dataskyddsstyrelsen (EDPB) 2023. År 2023 hävdade Meta sedan kort att man hade ett "berättigat intresse" att behandla personuppgifter för annonsering enligt artikel 6.1 f i GDPR, tills man började återgå till "samtycke" enligt artikel 6.1 a i GDPR - genom att be användarna att samtycka eller betala en avgift på upp till 20,99 euro för Instagram och Facebook kombinerat.
Dataskyddsmyndigheterna i Norge, Nederländerna och Hamburg tog "Pay or Okay" tillbaka till EDPB, som nu har fattat ett beslut. Alla dessa försök att kringgå lagen har gjorts med aktivt stöd av den irländska dataskyddskommissionen (DPC), som är den ledande tillsynsmyndigheten för Metas EU-huvudkontor i Irland. Alla dessa "avtal" med den irländska tillsynsmyndigheten befanns senare vara olagliga av EDPB eller EU-domstolen.
