Shodno odluci koju je krajem prošle godine doneo nemački organ nadležan za pitanja zaštite podataka o ličnosti, načelno je dozvoljeno korišćenje „pay-or-okay“ sistema, koji podrazumeva da obaveštenje o kolačićima (tzv. baner kolačića) sadržano na veb-sajtu korisniku pruža mogućnost izbora između:

1. pristanka na obradu podataka o ličnosti u svrhe personalizovanog oglašavanja; i
2. plaćanja određenog novčanog iznosa na ime pretplate, u kom slučaju lice može koristiti veb-sajt bez aktivacije kolačića putem kojih se prati i analizira njegovo ponašanje na veb-sajtu (radi prikazivanja oglasa eksternih partnera).

Naravno, u svakom konkretnom slučaju mora biti ispunjen i niz drugih uslova kako bi se takvo obaveštenje o kolačićima smatralo usklađenim sa regulatornim zahtevima, tj. kako bi se smatralo da je pristanak na obradu podataka o ličnosti punovažno dat.

Detalji slučaja

U konkretnom slučaju, istraga koju je postupajući organ za zaštitu podataka o ličnosti sproveo nakon što je protiv rukovaoca podneto nekoliko pritužbi, uključujući onu podnetu od strane NOYB-a (poznate organizacije aktivista za zaštitu privatnosti), dovela je do zaključka da je rukovalac postupio protivno odredbama GDPR-a, i to tako što:

• je na uređaj korisnika, odmah po pristupanju veb-sajtu, odnosno pre stupanja korisnika u interakciju sa obaveštenjem o kolačićima, instalirao kolačiće koji nisu neophodni za funkcionisanje samog veb-sajta (tzv. strogo nužne kolačiće);
• u obaveštenju o kolačićima nije pružio sve relevantne informacije, niti je jasno opredelio koje informacije su relevantne za korisnike koji veb-sajt koriste u opštem režimu, a koje za one koji su pretplaćeni na predmetni sadržaj;
• je u okviru obaveštenja o kolačićima iskoristio termin „prihvatam“ umesto „saglasan“, što kod korisnika može stvoriti utisak da nema slobodu izbora.

Naime, pomenuti organ je istakao da na obaveštenju o kolačićima, i to na prvom nivou, tj. sloju, moraju biti jasno navedene najmanje sledeće informacije kako bi se pristanak na korišćenje kolačića, a posledično i na obradu podataka o ličnosti, smatrao valjano datim:

• svrha obrade;
• informacija da li se podaci o ličnosti koriste za profilisanje lica na koje se odnose;
• informacija da li se podaci o ličnosti prenose van EEA (European Economic Area);
• broj drugih rukovalaca kojima se podaci otkrivaju.

Međutim, pomenuti organ je zauzeo stanovište da sam „pay-or-okay“ princip, odnosno sistem, po svojoj prirodi, tj. suštini, nije protivan odredbama GDPR-a, pozivajući se tom prilikom na kriterijume Konferencije nemačkih organa za zaštitu podataka (saglasno kojima je takav pristup u redu sve dok su relevantne informacije korisnicima transparentno komunicirane, odnosno dok je istima omogućeno granularno davanje pristanka i njegov opoziv u svakom trenutku, te ukoliko je usklađen sa načelima obrade iz GDPR-a).

Pravni okvir

Rukovalac je na opisani način povredio odredbu 6(1)(a) GDPR-a, shodno kojoj je obrada podataka o ličnosti, između ostalog, zakonita ukoliko je lice na koje se podaci odnose pristalo na obradu u pogledu jedne ili više specifičnih svrha obrade. Naravno, pristanak mora biti dat prethodno, tj. pre same obrade.

Pored navedenog, postupajući organ se u odluci pozvao i na Smernice EDPB (European Data Protection Board) 05/2020 u vezi sa Uredbom 2016/679, shodno kojima pristanak mora biti „granularan“, tj. specifičan u pogledu pojedinačnih svrha i radnji obrade, što ovde nije bio slučaj, budući da u konkretnom slučaju korisnici veb-sajta nisu imali dovoljno informacija i nisu mogli da biraju svrhe i radnje obrade, već su morali da daju široku, tj. neodređenu saglasnost.

Stav Španskog tela za zaštitu podataka o ličnosti („AEPD“) o „cookie zidovima“

Cookie zid predstavlja prepreku na veb sajtovima koja uskraćuje pristup korisnicima koji ne pristanu na sve kolačiće i druge tehnologije za praćenje prisutne na sajtu. U osnovi, korisnici se suočavaju sa situacijom „uzmi ili ostavi“, gde moraju da pristanu na kolačiće za marketing i slične tehnologije ili će biti sprečeni da pristupe veb-sajtu i njegovim uslugama.

Međutim, smernice EDPB-a o punovažnom pristanku, izdate u maju 2020. godine, kategorizuju cookie zidove kao neadekvatan način za veb-sajtove da dobiju pristanak korisnika za obradu ličnih podataka i korišćenje kolačića.

U Španiji, koncept cookie zidova blisko prati smernice EDPB-a o pristanku. Korisnici bi trebalo da imaju pristup uslugama i funkcijama bez prisile da prihvate kolačiće, čime se osigurava da pristanak bude slobodno dat i da nije iznuđen.

AEPD ističe da cookie zidovi izazivaju posebnu zabrinutost kada korisnicima uskraćuju pristup veb-sajtu prilikom pokušaja ostvarivanja nekog prava, kao što je odjavljivanje sa usluge (unsubscribe).

Pored toga, smernice AEPD-a propisuju da jednostavno pregledanje (skrolovanje) veb-sajta ne predstavlja validan pristanak; pristanak mora biti eksplicitno i nedvosmisleno naznačen od strane korisnika.

U slučaju implementiranja cookie zida, AEPD upućuje da se mora pružiti alternativni način pristupa usluzi koji ne zahteva prihvatanje kolačića. Time se osigurava da pristanak ne bude dobijen ograničavanjem pristupa uslugama.

Prema ažuriranim smernicama AEPD-a o cookie zidovima iz 2020. godine, ovaj alternativni način ne mora nužno biti besplatan. Ponuda pretplatničkog modela ili plaćene usluge bez kolačića smatra se prihvatljivim pristupom prema španskim propisima o kolačićima.

„Pay-or-okay“ princip i slučaj kompanije META

Međutim, postoje i druga tumačenja GDPR-a, koja „Pay-or-okay“ sistem smatraju spornim, navodeći da princip izbora između plaćanja zaštite podataka o ličnosti ili davanja pristanka na obradu takvih podataka može biti problematičan, budući da se na taj način na korisnike vrši pritisak da odluče između svojih prava i pristupa određenim uslugama, tj. funkcijama.

Tako, pažnju javnosti je nedavno privukla kompanija META, upravo zbog svog „Pay-or-okay“ principa, a koji podrazumeva praksu zahtevanja plaćanja od svojih korisnika kako bi zaštitila njihovu privatnost, u protivnom će smatrati da su korisnici dali pristanak na korišćenje svojih podataka u marketinške svrhe.

Naime, ova praksa je izazvala rasprave i kontroverze iz nekoliko razloga, od kojih se kao najčešći navode:

• obaveza plaćanja zaštite podataka o ličnosti je direktno suprotstavljena pravilu da je pristanak na obradu podataka o ličnosti punovažan, tj. validan samo ukoliko je slobodno dat;
• modeli poput „Pay-or-okay“ principa mogu intenzivirati socijalne nejednakosti, budući da iz istih implicitno proizlazi da oni koji su finansijski manje sposobni mogu biti primorani da pristanu na kompromis u pogledu svoje privatnosti kako bi mogli koristiti određene usluge, pri čemu bi privatnost trebalo da bude pravo svakog korisnika, a ne privilegija dostupna samo onima koji mogu da plate (tj. takva praksa čak može predstavljati diskriminaciju);
• zaštita podataka o ličnosti predstavlja pravo, a ne robu, tj. stvar kojom se trguje.

Shodno navedenom, stavovi u pogledu „Pay-or-okay“ principa razlikuju se u zavisnosti od regulatornih tela, kao i stručnjaka za zaštitu podataka o ličnosti.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.