Pay or okay? (not okay enligt EDPB)

Den europeiska dataskyddsstyrelsen EDPB har nyligen lagt fram sitt ställningstagande gällande affärsmodellen där förekomsten av beteendestyrd marknadsföring villkoras av användares villighet att betala för att slippa sådan reklam. Vi sammanfattar dess slutsatser och konsekvenser för de sociala medieplattformarna samt ser en otippad röd tråd mellan införandet av affärsmodellen och ett äldre avsnitt av en bitsk animerad tv-serie.

I en scen i den satiriska tv-serien South Park rusar en entusiastisk vetenskapsman genom labbet och deklarerar att de har hittat botemedlet mot aids. När en forskarkollega frågar vad lösningen är utbrister vetenskapsmannen euforiskt ”en stor dos koncentrerad mängd cash”. Det vetenskapliga genombrottet gick ut på att mala ner 180.000 dollar och injicera i blodet för att lösa ett av det resurssvaga tredje världens stora problem.

I ljuset av detta medvetet tillspetsade budskap riktat mot en skev ekonomisk logik går det att föreställa sig en kostymklädd affärsanalytiker på ett stort sociala medier-bolags huvudkontor rusa hela vägen upp till styrelserummet extatiskt ropandes: ”Vi har löst det, vi har löst problemet med dataskyddslagstiftning”. På de nyfikna följdfrågorna om hur de lyckats överkomma techindustrins ständiga huvudbry hör vi analytikern lyckligt utbrista ”Pengar! Vi säljer dataskydd för svinmycket pengar!”.

I brist på insyn i beslutsprocessen som ledde fram till införandet av den så kallade ”Pay or okay”-modellen (eller ”Pay or Mmmkay” som skolkuratorn Mr Mackey i den ovan nämnda satirserien skulle ha benämnt det) är det frestande att se ett liknande scenario framför sig. I korthet innebär modellen att du för inte så länge sedan blev tillfrågad om du ville betala vid användandet av vissa populära tjänster för att slippa att bli föremål för riktad reklam. Alternativet var business as usual, det vill säga fri tillgång till tjänsterna i utbyte mot fortsatt beteendestyrd marknadsföring. Sannolikt tackade du nej till det nya erbjudandet – varför skulle du börja betala för en tjänst som du under många år vant dig vid varit gratis? Eller så fick du inte frågan eftersom du är en medveten cybersäkerhetsninja som inte under någon som helst omständighet skulle använda produkter och tjänster som förutsätter fri tillgång till dina uppgifter. Oavsett hur du ställde dig till frågan var den nya grundpremissen att du vid användande av tjänsterna har gjort ett aktivt val och antingen givit eller (mot betalning) inte givit ditt samtycke till att dina uppgifter skulle behandlas för beteendestyrd marknadsföring.

Nyligen satte den europeiska dataskyddsstyrelsen EDPB ner foten och förklarade att denna affärsmodell, specifikt när det tillämpas av stora onlineplattformar, i princip inte är förenlig med samtyckesreglerna i GDPR. I de flesta fall kommer det alltså inte att vara möjligt för plattformarna att uppfylla kraven på giltigt samtycke om de endast ställer användarna inför ett binärt val mellan att samtycka till behandling av personuppgifter för beteendestyrd reklam och att betala en avgift. Knäckfrågan gällde alltså det så ofta mer eller mindre medvetet feltolkade begreppet ”samtycke”, som inom GDPR:s ramar rymmer ett helt universum av villkor och avgränsningar för att uppnå status som giltig laglig grund för personuppgiftsbehandling.

Hur tänker EDPB att plattformarna ska göra för att göra rätt?

En kritisk kärna i ställningstagandet är att tjänster som kräver att användare betalar för att slippa riktad reklam inte ska vara normen för affärsmodeller. Stora onlineplattformar bör istället överväga att tillhandahålla användare ett ytterligare val, eller "likvärdigt alternativ", utan extra kostnad om de väljer att erbjuda en version av tjänsten utan beteendestyrd reklam. Om en avgift tas ut för tillgång till detta "likvärdiga alternativ" bör de ansvariga överväga att också erbjuda ett kostnadsfritt alternativ utan beteendestyrd reklam, vilket skulle minska påverkan på bedömningen av samtyckets giltighet enligt GDPR, särskilt med hänsyn till nackdelar för användarna. EDPB föreslår att alternativet till betalning kan vara en form av reklam som innebär behandling av färre eller inga personuppgifter för att samtycket ska anses vara ett giltigt GDPR-samtycke.

Resonemangen som EDPB för fram kokar ner till deras kommentarer gällande det som från flera håll har varit den brinnande punkten i kritiken mot pay or okay-modellen, det vill säga att skyddet för personuppgifter i och med detta reduceras från en grundläggande rättighet till något att köpslå om. EDPB markerar mot en sådan utveckling genom att tydliggöra att personuppgifter inte ska betraktas som en handelsvara och att dataskydd inte får omvandlas till en funktion som individer måste betala för att åtnjuta.

Om dataskyddsstyrelsens resonemang och slutsatser klubbas av instanser med rättsligt bindande verkan kan vi se fram emot att bevittna nya försök från de största techbolagen att mejsla fram juridiskt hållbara konstruktioner för deras grundläggande affärsmodeller. En kanske viktigare följd av en sådan utveckling kan vara att europeisk dataskyddslagstiftning därmed kommer att hålla en säker distans från att bli förlöjligad av elaka men träffsäkra animerade satirserier.