Dewan Perlindungan Data Eropa (EDPB) telah menerbitkan panduan baru yang memiliki implikasi besar bagi raksasa teknologi iklan seperti Meta dan platform besar lainnya.
Panduan tersebut, yang dikonfirmasi pada hari Rabu seperti yang kami laporkan sebelumnya, akan mengarahkan cara regulator privasi menafsirkan Peraturan Perlindungan Data Umum (GDPR) di blok tersebut dalam bidang yang kritis. Penuh pendapat EDPB tentang apa yang disebut “persetujuan atau pembayaran” mencapai 42 halaman.
Platform besar lainnya yang didanai iklan juga harus memperhatikan panduan terperinci ini. Namun Meta tampaknya menjadi pihak pertama yang merasakan dampak buruk peraturan pada model bisnis berbasis pengawasannya.
Hal ini karena — sejak November 2023 — pemilik Facebook dan Instagram telah memaksa pengguna di Uni Eropa untuk setuju dilacak dan diprofilkan untuk bisnis penargetan iklannya atau mereka harus membayar langganan bulanan untuk mengakses versi bebas iklan dari Facebook. jasa. Namun pemimpin pasar yang menerapkan pilihan biner semacam itu tampaknya tidak mungkin dilakukan, menurut EDPB, sebuah badan ahli yang terdiri dari perwakilan otoritas perlindungan data dari seluruh UE.
“EDPB mencatat bahwa konsekuensi negatif mungkin terjadi ketika platform online besar menggunakan model 'izin atau bayar' untuk mendapatkan izin pemrosesan,” pendapat Dewan, menggarisbawahi risiko “ketidakseimbangan kekuasaan” antara individu dan masyarakat. pengontrol data, seperti dalam kasus di mana “seseorang bergantung pada layanan dan audiens utama layanan”.
Di sebuah jumpa pers menyertai publikasi opini tersebut, ketua Dewan, Anu Talu, juga menekankan perlunya platform untuk memberikan “pilihan nyata” kepada pengguna atas privasi mereka.
“Platform online harus memberikan pengguna pilihan nyata ketika menggunakan model 'persetujuan atau berbayar',” tulis Talu. “Model yang kita miliki saat ini biasanya mengharuskan individu untuk memberikan semua datanya atau membayar. Akibatnya sebagian besar pengguna menyetujui pemrosesan tersebut untuk menggunakan suatu layanan, dan mereka tidak memahami implikasi penuh dari pilihan mereka.”
“Pengendali harus berhati-hati setiap saat untuk menghindari transformasi hak dasar atas perlindungan data menjadi fitur yang harus dibayar oleh individu untuk menikmatinya. Setiap individu harus disadarkan sepenuhnya akan nilai dan konsekuensi dari pilihan mereka,” tambahnya.
Dalam ringkasan pendapatnya, EDPB menulis dalam siaran persnya bahwa “dalam banyak kasus” “tidak mungkin” bagi “platform online besar” yang menerapkan model persetujuan atau pembayaran untuk mematuhi persyaratan GDPR untuk “persetujuan yang sah” — jika mereka “hanya menghadapkan pengguna pada pilihan antara menyetujui pemrosesan data pribadi untuk tujuan periklanan perilaku dan membayar biaya” (yaitu seperti yang dilakukan Meta saat ini).
Pendapat tersebut mendefinisikan platform besar, secara tidak lengkap, sebagai entitas yang ditetapkan sebagai platform online yang sangat besar berdasarkan Undang-Undang Layanan Digital UE atau penjaga gerbang berdasarkan Undang-Undang Pasar Digital (DMA) — sekali lagi, sebagaimana halnya Meta (Facebook dan Instagram diatur berdasarkan kedua undang-undang tersebut) .
“EDPB menganggap bahwa hanya menawarkan alternatif berbayar terhadap layanan yang melibatkan pemrosesan data pribadi untuk tujuan periklanan perilaku tidak boleh menjadi cara standar bagi pengontrol,” lanjut Dewan. “Saat mengembangkan alternatif, platform online besar harus mempertimbangkan untuk menyediakan 'alternatif yang setara' kepada individu yang tidak memerlukan pembayaran biaya.
“Jika pengawas memilih untuk mengenakan biaya untuk akses terhadap 'alternatif yang setara', mereka harus mempertimbangkan secara signifikan untuk menawarkan alternatif tambahan. Alternatif gratis ini harus tanpa iklan perilaku, misalnya dengan bentuk iklan yang melibatkan sedikit atau tidak ada pemrosesan data pribadi. Ini adalah faktor yang sangat penting dalam penilaian persetujuan yang sah berdasarkan GDPR.”
EDPB dengan hati-hati menekankan bahwa prinsip-prinsip inti GDPR lainnya – seperti batasan tujuan, minimalisasi data, dan keadilan – terus berlaku seputar mekanisme persetujuan, dengan menambahkan: “Selain itu, platform online besar juga harus mempertimbangkan kepatuhan terhadap prinsip-prinsip kebutuhan dan proporsionalitas, dan mereka bertanggung jawab untuk menunjukkan bahwa pemrosesan mereka secara umum sejalan dengan GDPR.”
Mengingat rincian pendapat EDPB mengenai topik yang kontroversial dan rumit ini – dan saran bahwa banyak analisis kasus per kasus diperlukan untuk melakukan penilaian kepatuhan – Meta mungkin merasa yakin tidak akan ada perubahan dalam jangka pendek. Tentu saja akan memerlukan waktu bagi regulator UE untuk menganalisis, menerima dan bertindak berdasarkan saran Dewan.
Saat dihubungi untuk dimintai komentar, juru bicara Meta Matthew Pollard mengirim email berisi pernyataan singkat yang mengecilkan panduan tersebut: “Tahun lalu, Pengadilan Kehakiman Uni Eropa [CJEU] memutuskan bahwa model berlangganan adalah cara yang sah secara hukum bagi perusahaan untuk meminta persetujuan masyarakat atas iklan yang dipersonalisasi. Opini EDPB hari ini tidak mengubah penilaian dan Berlangganan tanpa iklan sesuai dengan hukum UE.”
Komisi Perlindungan Data Irlandia, yang mengawasi kepatuhan Meta terhadap GDPR dan telah meninjau model persetujuannya sejak tahun lalu, menolak berkomentar apakah mereka akan mengambil tindakan apa pun sehubungan dengan panduan EDPB karena komisi tersebut mengatakan bahwa kasus tersebut sedang berlangsung.
Sejak Meta meluncurkan penawaran “berlangganan tanpa iklan” tahun lalu, Meta terus mengklaim bahwa penawaran tersebut mematuhi semua peraturan UE yang relevan – sejalan dengan keputusan pengadilan tinggi UE pada Juli 2023 yang tidak secara eksplisit dikesampingkan oleh hakim. kemungkinan mengenakan biaya untuk alternatif non-pelacakan namun menetapkan bahwa pembayaran tersebut harus “perlu” dan “pantas”.
Mengomentari aspek keputusan CJEU ini dalam pendapatnya, Dewan mencatat – sangat berbeda dengan pernyataan Meta yang berulang kali bahwa CJEU pada dasarnya menyetujui model berlangganannya terlebih dahulu – bahwa hal ini “bukanlah inti dari keputusan Pengadilan”.
“EDPB mempertimbangkan bahwa keadaan tertentu harus ada agar biaya dapat dikenakan, dengan mempertimbangkan kemungkinan alternatif terhadap periklanan perilaku yang memerlukan pemrosesan lebih sedikit data pribadi dan posisi subjek data,” lanjutnya dengan penekanan. “Ini disarankan oleh kata 'perlu' dan 'pantas'namun hal ini tidak boleh dianggap sebagai keharusan untuk mengenakan biaya sebagaimana dimaksud dalam Pasal 52(1) Piagam dan undang-undang perlindungan data UE.”
Pada saat yang sama, pendapat Dewan tidak sepenuhnya menyangkal platform besar tersebut kemungkinan membebankan biaya untuk alternatif non-pelacakan — sehingga Meta dan sejenisnya yang didanai iklan pelacakan mungkin merasa yakin mereka akan dapat menemukan bantuan dalam diskusi terperinci setebal 42 halaman tentang tuntutan hukum perlindungan data yang saling bersinggungan. (Atau, setidaknya, intervensi ini akan membuat regulator sibuk mencoba memahami kompleksitas kasus per kasus.)
Namun panduan ini — khususnya — mendorong platform untuk menawarkan alternatif gratis selain pelacakan iklan, termasuk penawaran yang didukung iklan yang menjaga privasi.
EDPB memberikan contoh kontekstual, “iklan umum” atau “iklan berdasarkan topik yang dipilih subjek data dari daftar topik minat”. (Dan perlu diperhatikan juga bahwa Komisi Eropa juga menyarankan Meta dapat menggunakan iklan kontekstual daripada memaksa pengguna untuk menyetujui pelacakan iklan sebagai bagian dari pengawasannya terhadap kepatuhan raksasa teknologi tersebut terhadap DMA.)
“Meskipun tidak ada kewajiban bagi platform online besar untuk selalu menawarkan layanan gratis, menyediakan alternatif lebih lanjut bagi subjek data akan meningkatkan kebebasan memilih mereka,” lanjut Dewan, menambahkan: “Hal ini memudahkan pengontrol untuk mendemonstrasikan persetujuan itu diberikan secara cuma-cuma.”
Meskipun ada lebih banyak nuansa diskursif dalam apa yang telah diterbitkan oleh Dewan saat ini dibandingkan dengan kejelasan instan mengenai topik penting, intervensi ini penting dan tampaknya akan mempersulit raksasa teknologi iklan arus utama seperti Meta untuk membingkai dan beroperasi di bawah privasi biner palsu- pilihan yang bermusuhan dalam jangka panjang.
Berbekal panduan ini, regulator perlindungan data UE sebaiknya akan bertanya mengapa platform semacam itu tidak menawarkan alternatif yang tidak terlalu memusuhi privasi — dan menanyakan pertanyaan itu, jika tidak secara harfiah saat ini, maka akan segera terjadi.
Bagi raksasa teknologi yang dominan dan memiliki sumber daya yang baik seperti Meta, sulit untuk melihat bagaimana mereka dapat menghindari jawaban atas permintaan tersebut dalam jangka waktu yang lama. Meskipun mereka pasti akan tetap berpegang pada pedoman GDPR yang biasa, yaitu mengatur segala sesuatunya selama mungkin dan mengajukan banding terhadap setiap keputusan akhir yang bisa diambil.
Hak privasi nirlaba malam, yang telah berada di garis depan dalam memerangi taktik persetujuan atau pembayaran di wilayah tersebut dalam beberapa tahun terakhir, berpendapat bahwa pendapat EDPB memperjelas bahwa Meta tidak dapat lagi mengandalkan trik “bayar atau oke”. Namun pendiri dan ketuanya, Max Schrems, mengatakan kepada TechCrunch bahwa dia khawatir Dewan belum bertindak cukup jauh dalam merusak mekanisme persetujuan paksa yang memecah belah ini.
“EDPB mengingat semua elemen yang relevan, namun tidak secara tegas menyatakan konsekuensi nyata, yaitu 'bayar atau oke' tidak sah,” katanya kepada kami. “Ini menyebutkan semua elemen mengapa Meta ilegal, tetapi ada ribuan halaman lain yang belum ada jawabannya.”
Seolah-olah panduan sepanjang 42 halaman mengenai topik rumit ini belum cukup, Dewan juga masih memiliki lebih banyak hal yang perlu dilakukan: Talus mengatakan pihaknya bermaksud untuk mengembangkan pedoman tentang model persetujuan atau pembayaran “dengan cakupan yang lebih luas”, dan menambahkan bahwa mereka akan melakukannya “terlibat dengan pemangku kepentingan dalam pedoman yang akan datang ini”.
Penerbit berita di Eropa adalah yang paling awal mengadopsi taktik persetujuan yang kontroversial ini sehingga opini EDPB yang “lebih luas” di masa depan kemungkinan besar akan diawasi dengan ketat oleh para pelaku industri media.
