Katarzyna Szymielewicz, Wojciech Klicki: Nie ma darmowych ubezpieczeń

W 2019 r. największy polski ubezpieczyciel PZU zaoferował wszystkim rodzicom bezpłatne ubezpieczenie ich dzieci na wakacje. Bezpłatne, ale nie darmowe. Żeby skorzystać z oferty, rodzice musieli wyrazić zgodę na przetwarzanie swoich danych w celach marketingowych przez grupę kapitałową PZU. A więc de facto zapłacić danymi.

W związku z zainteresowaniem medialnym Urząd Ochrony Danych Osobowych wszczął postępowanie w tej sprawie. Ostatecznie nie dopatrzył się jednak naruszenia przepisów, bo w czasie trwania oferty – już po fali medialnego zainteresowania – PZU zmieniło zasady i umożliwiło klientom wycofanie zgody.

Czytaj więcej

Dane osobowe

"Bezpłatne" ubezpieczenie w zamian za dane osobowe - postępowanie wobec PZU Pomoc

Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie względem PZU Pomoc, odpowied...

Do sprawy przyłączyła się Fundacja Panoptykon, zaskarżając decyzję prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie. W pierwszej instancji sąd uwzględnił skargę fundacji, uznając, że urząd nie ustalił wszystkich niezbędnych okoliczności. Po trzech latach, w wyroku z 12 listopada 2025 r., Naczelny Sąd Administracyjny uchylił to rozstrzygnięcie, nakazując sądowi pierwszej instancji ponowne zbadanie sprawy (sygnatura akt: III OSK 2594/22). W ustnym uzasadnieniu wskazał, że wszystkie okoliczności są już wystarczająco wyjaśnione, teraz trzeba przyjrzeć się temu, czy model „zapłać albo zgódź się” (na przetwarzanie danych w celach marketingowych; ang. „pay or ok”) jest zgodny z RODO.

Big techy kontra RODO

Sprawa przed sądami administracyjnymi potrwa zapewne jeszcze kilka lat, tymczasem kategoryczna ocena modelu biznesowego „zapłać albo zgódź się” staje się coraz pilniejsza. Od paru lat obserwujemy, jak sięgają po niego najwięksi gracze, a trendy wyznacza Meta, właściciel Facebooka i Instagrama.

Zgodnie z RODO każde sięgnięcie po dane osobowe wymaga wskazania podstawy prawnej, a więc jest wkroczeniem na teren chroniony. Tymczasem model biznesowy firm z Doliny Krzemowej wyrósł z amerykańskiej filozofii leseferyzmu. Zgodnie z zasadą: zbierajmy, co się da, a potem znajdziemy dla tych danych zastosowanie. I podstawę prawną. Mimo siedmiu lat obowiązywania RODO, dominujące platformy internetowe nadal traktują dane Europejczyków jak surowiec, który może wydobywać i eksploatować każdy, kogo stać na odpowiednią technologię. W opcji domyślnej serwują swoim użytkownikom permanentne śledzenie i personalizację „doświadczenia” (również reklam). Taki sposób projektowania serwisów na pierwszym planie stawia potrzeby reklamodawców, nie użytkowników.

Czytaj więcej

Dane osobowe

Mirosław Wróblewski, prezes UODO: Nie dla „Pay or okey” w danych osobowych

Bardzo często godzimy się na przetwarzanie naszych danych, w tym biometrycznych, pod pretekstem k...

Czy ten model biznesowy da się pogodzić z RODO? Już na pierwszy rzut oka widać sprzeczność. Ale prawnicy Mety podjęli rękawicę. Najpierw, w reakcji na wejście w życie RODO, Facebook zmienił warunki świadczenia usług, zastrzegając, że targetowana reklama to integralna część usługi serwisu społecznościowego. I jako taka nie wymaga osobnej zgody. Sprytne, ale jednak zbyt śmiałe. W grudniu 2022 r., w wyniku skargi Europejskiego Centrum Praw Cyfrowych (NOYB; ang. None of Your Business), Europejska Rada Ochrony Danych uznała, że Facebook nie może skorzystać z tej podstawy prawnej, bo reklama targetowana w oparciu o dane behawioralne nie jest integralnym elementem serwisu społecznościowego.

Prawnicy Mety nie poddali się i sięgnęli po szantaż finansowy. Bo jak inaczej określić ofertę, w której – po jednej stronie – mamy blankietową zgodę na serwowanie targetowanych reklam (a więc również na śledzenie i inwazyjne profilowanie), a po drugiej – wysoką (nawet jak na standardy serwisów streamingowych) opłatę subskrypcyjną? Na ten ruch Mety NOYB zareagował kolejną skargą, która w ubiegłym roku doprowadziła do wydania przez EROD opinii kwestionującej legalność modelu „zapłać albo zgódź się” dla wielkich platform internetowych, ze względu na ich dominującą pozycję.

Teraz EROD pracuje nad wytycznymi, które wyznaczą standard pozyskiwania zgody dla wszystkich administratorów danych, również europejskich podmiotów i wydawców mediów elektronicznych. W przypadku tych ostatnich w grę wchodzą nie tylko względy biznesowe. W świecie, w którym zostaliśmy przyzwyczajeni do płacenia danymi za (pozornie darmowe i przez to coraz słabsze) treści, konsekwentna interpretacja RODO stała się wyzwaniem par excellence politycznym.

Legaliści kontra konsultanci

Organy ochrony danych osobowych tworzące EROD – w tym polski UODO – mają twardy orzech do zgryzienia. Jeśli zastosują przepisy RODO bez żadnej taryfy ulgowej dla wydawców mediów elektronicznych, zostanie im przyczepiona łatka „legalistów”, nieliczących się z realiami internetu. A jeśli nagną interpretację RODO do modelu działania (pozornie) darmowych serwisów, utrzymujących się z targetowanej reklamy, zostaną uznani za polityków albo, co gorsza, biznesowych konsultantów, niegodnych swojego urzędu. Czy z tego dylematu jest jakieś eleganckie wyjście?

Czytaj więcej

Dane osobowe

Meta nie będzie "karmić" AI naszymi danymi z Facebooka oraz Instagrama

Meta, spółka matka Facebooka i Instagrama, zawiesiła wykorzystywanie danych użytkowników w Europi...

Z perspektywy prawnej, sprawa wydaje się przesądzona. EROD już dwa razy wydała wytyczne (w opinii nr 05/2020 i w opinii nr 08/2024), w których potwierdza, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, a odmowa lub wycofanie zgody muszą być możliwe bez ponoszenia szkody. Trudno o inną interpretację, bo definicja zgody w RODO jest całkiem precyzyjna i wyśrubowana (właśnie po to, by tej podstawy prawnej nie nadużywać). Zgodnie z nią: „Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.” (RODO, fragment motywu 42).

Tymczasem w modelu „zapłać albo zgódź się”, odmowa wyrażenia zgody wiąże się z karą finansową lub ograniczeniem funkcjonalności, co bez wątpienia stanowi szkodę w rozumieniu art. 7 ust. 4 RODO. Badania behawioralne pokazały, że skonfrontowani z takim wyborem użytkownicy odczuwają poczucie winy, niepokój i dezorientację. Często klikają „akceptuję” tylko po to, by kontynuować albo uniknąć indukowanego im poczucia winy. Granie psychologiczną presją narusza art. 5 ust. 1 RODO i motyw 42. A wielostopniowy proces dokonywania płatności (zwykle wymagający utworzenia konta) narusza art. 7 ust. 3 RODO, ponieważ czyni odmowę udzielenia zgody znacznie trudniejszą, niż jej wyrażenie.

Wreszcie banery wykorzystywane w modelu „zapłać albo zgódź się” wykorzystują manipulacyjne techniki projektowania (tzw. dark patterns). Różnice w doborze kolorów, emocjonalne sformułowania (np. „wspieraj dziennikarstwo”) i wydłużone ścieżki w przypadku odmowy. Takie praktyki naruszają nie tylko RODO, ale też art. 25 aktu o usługach cyfrowych (DSA). Badania empiryczne wykazały, że ponad 95 proc. użytkowników ulega takiej manipulacji (tj. udziela zgody), podczas gdy w sytuacji naprawdę dobrowolnego wyboru decyzję o udzieleniu zgody podtrzymuje zaledwie 3-5 proc. zapytanych.

O ile na pytanie „czy wymuszona czynnikami ekonomicznymi zgoda może być ważna na gruncie RODO” trudno odpowiedzieć twierdząco, bez popadania w absurd, o tyle odpowiedź na pytanie „co mogą zrobić wydawcy portali internetowych, żeby finansować tworzenie treści” – może być bardziej zniuansowana. I to nad nią warto się pochylić.

Jeśli ze względów politycznych, EROD uzna, że musi podważyć któryś z fundamentów europejskiego systemu ochrony danych, lepiej, żeby było to pojęcie „tzw. uzasadnionego interesu administratora”. Po pierwsze, dlatego że ta podstawa prawna daje większe pole do interpretacji i nie tylko dopuszcza, ale wręcz zakłada możliwość ograniczenia prywatności użytkownika (podmiotu danych) ze względów biznesowych. Po drugie, dlatego że wobec przetwarzania danych opartego na tej (chwiejnej) podstawie można przynajmniej wyrazić sprzeciw.