Avrupa Veri Koruma Kurulu (EDPB), Meta gibi reklam teknolojisi devleri ve diğer büyük platformlar için önemli etkileri olan yeni bir kılavuz yayınladı.
Kasım 2023’ten bu yana, Facebook ve Instagram’ın sahibi, Avrupa Birliği’ndeki kullanıcıları, reklam hedefleme işi için takip edilmeyi ve profillerinin oluşturulmasını kabul etmeye ya da hizmetlerin reklamsız sürümlerine erişmek için kendisine aylık abonelik ödemeye zorluyor. Ancak, AB genelindeki veri koruma otoritelerinin temsilcilerinden oluşan bir uzman kuruluşu olan EDPB’ye göre, bu tür ikili bir “rıza ya da ödeme” seçeneğini dayatan bir pazar lideri pek de geçerli görünmüyor.
Daha önce bildirdiğimiz gibi Çarşamba günü onaylanan kılavuz, gizlilik düzenleyicilerinin kritik bir alanda bloğun Genel Veri Koruma Yönetmeliğini (GDPR) nasıl yorumlayacağına yön verecek. Dolu fikir EDPB’nin “rıza veya ödeme” olarak adlandırılan bölümü 42 sayfadan oluşuyor.
Reklamla finanse edilen diğer büyük platformlar da ayrıntılı rehberliği dikkate almalıdır. Ancak Meta, gözetime dayalı iş modelinde ortaya çıkan herhangi bir düzenleyici soğukluğu hissetmek için ilk sırada görünüyor.
Kurul, birey ile kişi arasında “güç dengesizliği” riskinin altını çizerek, “EDPB, büyük çevrimiçi platformların işleme rızası almak için ‘rıza veya ödeme’ modelini kullandığında olumsuz sonuçların ortaya çıkmasının muhtemel olduğunu belirtiyor” dedi. veri denetleyicisi, örneğin “bir kişinin hizmete ve hizmetin ana hedef kitlesine güvendiği” durumlar.
İçinde basın bülteni Görüşün yayınlanmasıyla birlikte Kurul başkanı Anu Talu da platformların kullanıcılara gizlilikleri konusunda “gerçek bir seçim” sunması gerektiğini vurguladı.
Talu, “Çevrimiçi platformlar, ‘rıza ver ya da öde’ modellerini kullanırken kullanıcılara gerçek bir seçim sunmalı” diye yazdı. “Bugün sahip olduğumuz modeller genellikle bireylerin ya tüm verilerini vermelerini ya da ödeme yapmalarını gerektiriyor. Sonuç olarak çoğu kullanıcı, bir hizmeti kullanmak için veri işlemeyi kabul ediyor ve yaptıkları seçimlerin sonuçlarını tam olarak anlamıyorlar.”
“Denetleyiciler, temel veri koruma hakkını, bireylerin faydalanmak için para ödemesi gereken bir özelliğe dönüştürmekten kaçınmak için her zaman dikkatli olmalıdır. Bireyler, seçimlerinin değeri ve sonuçları konusunda tam olarak bilinçlendirilmeli” diye ekledi.
EDPB, görüşünün özetinde, basın bülteninde, rıza veya ödeme modellerini uygulayan “büyük çevrimiçi platformların” GDPR’nin “geçerli rıza” gerekliliğine uymasının “çoğu durumda” “mümkün olmayacağını” yazıyor. — “kullanıcıları yalnızca davranışsal reklamcılık amacıyla kişisel verilerin işlenmesine izin vermek ile bir ücret ödemek arasında bir seçimle karşı karşıya bırakırlarsa” (yani Meta’nın şu anda olduğu gibi).
Görüş, büyük platformları, AB’nin Dijital Hizmetler Yasası uyarınca çok büyük çevrimiçi platformlar olarak belirlenen kuruluşlar veya Dijital Pazarlar Yasası (DMA) kapsamındaki bekçiler olarak – yine Meta’da olduğu gibi (Facebook ve Instagram her iki yasa kapsamında düzenlenmektedir) büyük platformları ayrıntılı olarak tanımlamaktadır. .
Kurul şöyle devam ediyor: “EDPB, kişisel verilerin davranışsal reklamcılık amacıyla işlenmesini içeren hizmetlere yalnızca ücretli bir alternatif sunmanın kontrolörler için varsayılan yol olmaması gerektiğini düşünüyor.” “Alternatifler geliştirirken büyük çevrimiçi platformların bireylere ücret ödemeden ‘eşdeğer bir alternatif’ sunmayı düşünmesi gerekiyor.
“Eğer kontrolörler ‘eşdeğer alternatife’ erişim için bir ücret talep etmeyi tercih ederlerse, ek bir alternatif sunmaya ciddi önem vermelidirler. Bu ücretsiz alternatif, davranışsal reklam içermemelidir; örneğin daha az veya hiç kişisel verinin işlenmesini içermeyen bir reklam biçimi. Bu, GDPR kapsamında geçerli rızanın değerlendirilmesinde özellikle önemli bir faktördür.”
EDPB, GDPR’nin amaç sınırlaması, veri minimizasyonu ve adalet gibi diğer temel ilkelerinin rıza mekanizmaları etrafında uygulanmaya devam ettiğini vurgulamaya özen gösteriyor ve şunu ekliyor: “Ayrıca, büyük çevrimiçi platformlar aynı zamanda gereklilik ve adalet ilkelerine uyumu da dikkate almalıdır. orantılıdır ve işlemlerinin genel olarak GDPR’ye uygun olduğunu göstermekten sorumludurlar.”
EDPB’nin bu tartışmalı ve çetrefilli konu hakkındaki görüşünün ayrıntıları ve uyumluluk değerlendirmeleri yapmak için çok sayıda vaka bazında analize ihtiyaç duyulacağı önerisi göz önüne alındığında, Meta kısa vadede hiçbir şeyin değişmeyeceğinden emin olabilir. Açıkça görülüyor ki, AB düzenleyicilerinin Kurulun tavsiyelerini analiz etmesi, benimsemesi ve ona göre hareket etmesi zaman alacaktır.
Yorumu için iletişime geçilen Meta sözcüsü Matthew Pollard, kılavuzu küçümseyen kısa bir açıklamayı e-postayla gönderdi: “Geçen yıl, Avrupa Birliği Adalet Divanı [CJEU] abonelik modelinin, şirketlerin kişiselleştirilmiş reklamcılık için insanların rızasını almaları için yasal olarak geçerli bir yol olduğuna karar verdi. Bugünkü EDPB Görüşü bu kararı değiştirmemektedir ve reklamsız abonelik AB yasalarına uygundur.”
Meta’nın GDPR uyumluluğunu denetleyen ve geçen yıldan bu yana rıza modelini inceleyen İrlanda Veri Koruma Komisyonu, davanın devam ettiğini belirterek, EDPB kılavuzu ışığında herhangi bir işlem yapıp yapmayacağı konusunda yorum yapmaktan kaçındı.
Meta, geçtiğimiz yıl “reklamsız abonelik” teklifini başlattığından bu yana, bunun ilgili tüm AB düzenlemelerine uygun olduğunu iddia etmeye devam etti; Temmuz 2023’te AB yüksek mahkemesinin yargıçların açıkça reddetmediği kararındaki çizgiyi takip etti takip edilmeyen bir alternatif için ücretlendirme olasılığı yerine bu tür bir ödemenin “gerekli” ve “uygun” olması gerektiğini şart koştu.
Kendi görüşüne göre ABAD kararının bu yönü hakkında yorum yapan Kurul, Meta’nın ABAD’ın abonelik modelini esasen önceden onayladığı iddialarının tam tersine, bunun “Mahkeme’nin kararının merkezinde yer almadığını” belirtmektedir.
Aynı zamanda Kurul’un görüşü, büyük platformların olasılık İzleme dışı bir alternatif için ücretlendirme – bu nedenle Meta ve onun izleme reklamıyla finanse edilen ilki, veri koruma yasasının kesişen taleplerinin 42 sayfalık ayrıntılı tartışmasında bir miktar yardım bulabileceklerinden emin olabilirler. (Ya da en azından bu müdahale, düzenleyicileri vaka bazındaki karmaşıklıklar konusunda kafa yormaya çalışmakla meşgul edecektir.)
Ancak kılavuz, platformları, gizlilik açısından güvenli(r) reklam destekli teklifler de dahil olmak üzere, izleme reklamlarına ücretsiz alternatifler sunmaya teşvik ediyor.
EDPB, bağlamsal, “genel reklamcılık” veya “veri sahibinin ilgi alanları listesinden seçtiği konulara dayalı reklamcılık” örnekleri verir. (Ayrıca, Avrupa Komisyonu’nun, Meta’nın, teknoloji devinin DMA’ya uygunluğunu denetlemenin bir parçası olarak kullanıcıları reklamları izlemeye izin vermeye zorlamak yerine içeriğe dayalı reklamlar kullanabileceğini öne sürdüğünü de belirtmekte fayda var.)
Kurul şöyle devam ediyor: “Büyük çevrimiçi platformların hizmetleri her zaman ücretsiz sunma zorunluluğu olmasa da, bu ilave alternatifin veri sahiplerinin kullanımına sunulması onların seçim özgürlüğünü artırır.” bu rıza özgürce verilir.
Kurulun bugün yayınladığı yayınlarda, önemli bir konuya anında açıklık getirilmesinden çok daha fazla söylemsel nüans olsa da, müdahale önemlidir ve Meta gibi ana akım reklam teknolojisi devlerinin sahte ikili gizlilik altında çerçevelemesini ve çalışmasını zorlaştıracak gibi görünüyor. uzun vadede düşmanca seçimler.
Bu kılavuzla donanmış olan AB veri koruma düzenleyicileri meli bu tür platformların neden gizlilik açısından çok daha az düşmanca alternatifler sunmadığını soruyor ve bu soruyu tam anlamıyla bugün olmasa da çok çok yakında soruyoruz.
Meta kadar baskın ve iyi kaynaklara sahip bir teknoloji devi için, uzun süren sorulara yanıt vermekten nasıl kaçınabileceğini anlamak zor. Her ne kadar işleri mümkün olduğu kadar uzatmak ve mümkün olan her nihai karara itiraz etmek için her zamanki GDPR oyun kitabına kesinlikle bağlı kalacak.
Gizlilik hakları kar amacı gütmeyen kuruluş noybSon yıllarda bölgedeki rıza ya da ödeme taktikleriyle mücadelede ön saflarda yer alan EDPB görüşünün, Meta’nın artık “öde ya da tamam” hilesine güvenemeyeceğini açıkça ortaya koyduğunu savunuyor. Ancak kurucusu ve başkanı Max Schrems TechCrunch’a, Kurulun bu bölücü zorunlu rıza mekanizmasını saptırmada yeterince ileri gitmediğinden endişe duyduğunu söyledi.
“EDPB ilgili tüm unsurları hatırlatıyor, ancak ‘öde ya da tamam’ın yasal olmadığı şeklindeki bariz sonucu net bir şekilde ifade etmiyor” dedi. “Meta için neden yasa dışı olduğu tüm unsurları sıralıyor, ancak henüz bir yanıtın bulunmadığı binlerce sayfa daha var.”
Sanki bu çetrefilli konuyla ilgili 42 sayfalık rehberlik zaten yeterli değilmiş gibi, Kurul’un da üzerinde daha fazla çalışması var: Talus, rıza veya ödeme modelleri hakkında “daha geniş kapsamlı” kılavuzlar geliştirmeyi planladığını söylüyor ve şunu da sözlerine ekledi: “Yaklaşan bu yönergeler konusunda paydaşlarla etkileşime geçin”.
Avrupalı haber yayıncıları, tartışmalı rıza taktiğini ilk benimseyenler oldu; bu nedenle, yakında çıkacak olan “daha geniş” EDPB görüşünün medya endüstrisindeki oyuncular tarafından dikkatle izlenmesi muhtemeldir.