Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) anser att tjänstemodeller för “samtycke eller betalning” (consent or pay) som används av stora onlineplattformar som Meta i de flesta fall kan uppfylla kraven för giltigt samtycke enligt dataskyddsförordningen (GDPR).
EDPB:s yttrande begärdes av fyra europeiska dataskyddsmyndigheter efter en uppmärksammad dom från EU-domstolen (C-252/21, Meta mot Bundeskartellamt). Domstolen underkände bland annat Metas användning av olika rättsliga grunder för att behandla personuppgifter i syfte att profilera användare för att tillhandahålla individuell anpassad reklam.
EDPB:s yttrande är begränsat till stora onlineplattformars användning av tjänstemodeller för “samtycke eller betalning” där användarna ombes att samtycka till behandling för beteendebaserad reklam.
I yttrandet betonar EDPB behovet av att uppfylla samtliga krav i GDPR. Kraven på att ett samtycke måste vara giltigt och principen om ansvarsskyldighet anses vara av vikt i sammanhanget. EDPB påminner även om att erhållande av samtycke inte befriar den personuppgiftsansvarige från att följa GDPR:s principer för behandling av personuppgifter samt övriga krav.
EDPB konstaterar att det i de flesta fall inte kommer vara möjligt för stora onlineplattformar att uppfylla kraven på giltigt samtycke om användarna endast kan välja mellan att antingen samtycka till behandling av personuppgifter för beteendestyrd reklam eller att betala en avgift.
EDPB motiverar denna bedömning med att en registrerad måste kunna välja mellan “likvärdiga alternativ” för att dennes samtycke ska anses vara frivilligt och således giltigt enligt GDPR. För stora onlineplattformar innebär detta att de bör tillhandahålla ytterligare en version av tjänsten utan beteendestyrd reklam och utan kostnad. Sammanlagt bör stora onlineplattformar således tillhandahålla tre versioner av tjänsten, två utan och en med beteendestyrd reklam. Ett av de två reklamfria versionerna bör vara kostnadsfri.
Enligt EDPB får en avgift för en tjänst inte vara sådan att den effektivt hindrar de registrerade från att göra ett fritt val och därmed hindra den registrerade från att samtycka frivilligt i GDPR:s mening. EDPB anser att kan vara till nackdel för registrerade som utestängs från tjänsten för att de varken vill samtycka eller kan betala avgiften, bland annat med anledning av sociala mediers avgörande roll i det sociala livet.
För att säkerställa att samtycket är frivilligt måste de personuppgiftsansvariga även bedöma om det finns en obalans i maktförhållandet mellan dem och den registrerade. EDPB anför bland annat följande faktorer som måste beaktas vid en sådan bedömning som exempelvis plattformens ställning på marknaden, förekomsten av inlåsnings- eller nätverkseffekter, i vilken utsträckning den registrerade förlitar sig på tjänsten och tjänstens huvudsakliga målgrupp.
I yttrandet går EDPB även igenom de övriga kraven som måste vara uppfyllda för att ett samtycke ska vara giltigt i sammanhanget, däribland att samtycket ska vara specifikt och informerat samt att samtycket ska kunna återkallas.