Nu dat DPG Media als eerste mediabedrijf in België het controversiële pay-or-consent uittest op enkele van hun websites, rijzen er opnieuw juridische vragen over de haalbaarheid ervan. Het zou er immers op neerkomen dat bezoekers verplicht worden om te moeten betalen indien ze cookies & marketing verwerking wensen te weigeren. Wie dus geen cookies wil, moet straks misschien een maandelijkse vergoeding betalen. Is dit een noodzakelijk kwaad of het nieuwe normaal?
Pay-or-Consent
Het Pay-or-Consent-model is het betaalmodel waarbij indien je niet wil dat je persoonsgegevens gebruikt worden voor advertentiedoeleinden, je daarvoor moet betalen. Eind 2023 startte Meta reeds met het model door ofwel gepersonaliseerde reclame te tonen ofwel 9,99 of 12,99 euro per maand te betalen voor toegang tot de diensten zonder het zien van reclame.
Nu test DPG Media als eerste Belgische organisatie dit model op diens websites. Wie geen cookies wil, kan ervoor kiezen om 3,99 euro per maand te betalen. Het is geen unicum bij uitgevers, de Duitse krant Bild, de Franse krant Le Monde en de Spaanse krant El Pais pasten dit reeds in 2024 toe.
Europa wijst de weg
Het is zelfs al dermate courant dat de EDPB (European Data Protection Board) erover adviseerde, m.b.t. Large Online Platforms (LOP) zoals Meta of Amazon. Het herinnert dat het recht op gegevensbescherming een fundamenteel recht is en dat persoonsgegevens daarom niet kunnen worden gezien als handelswaar.
De EDPB heeft in dat advies gesteld dat als er geen alternatief is voor ‘ja’ klikken, zonder jezelf uit te sluiten van een belangrijk communicatie-instrument zoals Facebook of Instagram, dan dat je geen echte keuze hebt. In de meeste gevallen zullen LOPs niet kunnen voldoen aan de vereiste voorwaarden van vrije toestemming indien bij het aanbieden van een dergelijke ja/nee keuze.
De EDPB stelt dan ook voor dat LOPs een “equivalent alternatief” moeten aanbieden die geen betaling omvat of alleszins minder vertrouwd op persoonsgegevens voor het aanbieden van gepersonaliseerde reclame.
Om verder te kunnen beoordelen of er vrije toestemming kan gegeven worden, moet men ook rekening houden met de (markt)positie van de aanbieder. Vervult de aanbieder bijvoorbeeld een essentiële overheidsrol? Zijn er weinig of net veel alternatieven? Wat is de machtsverhouding tussen beide partijen?
Eerder verduidelijkte immers het Europees Hof van Justitie in het belangrijk Bundeskartellamt-arrest tegen Meta de voorwaarden voor het verkrijgen van geldige toestemming in deze context. Conform het HvJ moeten gebruikers de vrijheid hebben om individuele verwerkingsactiviteiten die vertrouwen op toestemming te weigeren zonder verplicht te zijn volledig af te zien van het gebruik van de dienst die wordt aangeboden door de exploitant van het sociale netwerk. Bijgevolg moet de gebruiker, zo nodig tegen een passende vergoeding, een gelijkwaardig alternatief worden geboden dat niet gepaard gaat met dergelijke verwerkingen. Indien zo een afzonderlijke toestemming niet mogelijk is, dan wordt verondersteld dat de toestemming niet vrijelijk is gegeven.
Koekjes moet je zelf willen opeten
De GDPR vereist dat bezoekers hun vrije toestemming moeten geven alvorens dergelijke analytische cookies mogen worden geplaatst. Het element “vrij” impliceert immers een werkelijke keuze en controle voor de betrokkene. Als algemene regel schrijft de AVG voor dat als een betrokkene geen werkelijke keuze heeft, en hij/zij zich gedwongen voelt om toestemming te geven of het voor hem negatieve gevolgen zal hebben als hij niet toestemt, de toestemming niet geldig is. Nu rijst dus de vraag of om de betrokkene dit vrij kan geven als het alternatief de betaling van een vergoeding is?
De Belgische Gegevensbeschermingsautoriteit heeft in 2024 zich alvast enkele keren over cookies, cookiebanners en toestemming uitgesproken. In 2024 tikte het in diens beslissing Mediahuis op de vinger, en legde het zelfs een schikking op van 100.000 euro. Mediahuis kreeg toen te maken met klachten over de manier waarop vier van hun websites omgingen met cookiebanners. De GBA benadrukte het belang van vrij en ondubbelzinnige toestemming alvorens dergelijke advertentie-cookies worden geplaatst. Het is volgens de GBA niet toegestaan om bezoekers in de positie te brengen waarbij ze alleen maar “alles accepteren” kunnen aanklikken, zonder een evenwaardige keuze aan te bieden om alle cookies te weigeren.
Onlinereclame staat onder druk
Het voorgesteld model, waarbij men toestemming moet gegeven of betalen, is volgens de media bedrijven juist een gevolg van de strenge privacywetgeving. Meta was immers zelf ook geen grote voorstander om het model uit te rollen, maar zag voorlopig geen alternatief. De Belgische Gegevensbeschermingsautoriteit heeft conform De Standaard alvast verbaasd gereageerd op het voorstel en vindt het “verrassend” dat uitgevers zoals DPG Media het Pay-or-Consent model verder overwegen gelet op bovenstaande bedenkingen van de EDPB.
Zo stellen enkele privacy-activisten dat het fundamenteel recht op gegevensbescherming niet mag worden omgevormd tot een betalende optie. Aan de andere kant zien de mediabedrijven ook dat meer en meer bezoekers weldegelijk dergelijke advertentie-cookies weigeren waardoor zij dan ook minder inkomsten ontvangen. Uiteraard verwacht ook niemand dat online uitgevers verplicht worden om gratis diensten aan te bieden.
Het ziet er dus naar uit dat verdere verduidelijking van nationale gegevensbeschermingsautoriteiten rondom de concrete invulling van dergelijke Pay-or-Consent zich opdringt en dat er alvast steeds naar de specifieke omstandigheden zal moeten gekeken worden om te bepalen of dergelijke toestemming steeds vrijwillig kan gegeven worden naast het voldoen aan de overige voorwaarden van geldige gegevensverwerking zoals transparantie, doelbinding en minimalisatie.
Zit je nog met vragen na het lezen van deze blog? IFORI kan jou bijstaan bij het adviseren omtrent de toepassing en juridisch analyse mocht uw organisatie een dergelijk model overwegen. Contacteer ons gerust via mail naar info@ifori.be.
