Що таке згода за принципом відмови?

Згода на основі відмови характеризується системою, в якій користувачам не потрібно надавати активну згоду на обробку їхніх даних; натомість, вони повинні вжити заходів, щоб відмовитися або відкликати згоду. Наприклад, попередньо встановлені прапорці для підписки на розсилку або участь за замовчуванням у зборі даних ілюструють цей підхід (O’Connor et al., 2017). У контексті правових рамок, Каліфорнійський закон про захист прав споживачів (CCPA) зобов’язує компанії пропонувати споживачам чіткий механізм для відмови від продажу їхньої особистої інформації, але не вимагає явної попередньої згоди на збір або поширення даних (CCPA, 2018).

Результати емпіричних досліджень вказують на те, що моделі згоди на основі відмови зазвичай призводять до вищих показників збору даних та участі користувачів через інерцію або необізнаність (Nissenbaum, 2011). Це було підкреслено в експерименті Johnson et al. (2002), де налаштування за замовчуванням призвели до значно вищих показників згоди на поширення даних у порівнянні з механізмами на основі прямої згоди. Відсутність активного вибору зміщує результати на користь інтересів контролерів даних.

Навпаки, GDPR в Європейському Союзі запроваджує сувору модель прямої згоди, вимагаючи явної, поінформованої та однозначної згоди перед обробкою персональних даних або встановленням файлів cookie на пристроях користувачів. Користувачі повинні активно обирати свої налаштування, а попередньо встановлені прапорці прямо заборонені (GDPR Article 7). Також передбачена можливість відкликати згоду в будь-який час, що посилює автономію користувача.

Порівняльний аналіз моделей прямої згоди та згоди на основі відмови висвітлює кілька критичних моментів:

• Обізнаність користувачів: Моделі згоди на основі відмови часто призводять до нижчої обізнаності та залученості користувачів у виборі налаштувань конфіденційності (Symons & Bass, 2017).
• Чинність згоди: Правознавці стверджують, що згода на основі відмови не відповідає стандарту «поінформованої» або «вільно наданої» згоди відповідно до GDPR.
• Вплив на бізнес: Організації, що віддають перевагу моделям згоди на основі відмови, посилаються на вищі коефіцієнти конверсії та простіше дотримання вимог у рамках, орієнтованих на США, таких як CCPA.
• Контроль з боку користувача: Пряма згода забезпечує більший контроль з боку користувача, але може зменшити участь або бізнес-можливості через збільшення перешкод.

Підсумовуючи, згода на основі відмови залишається поширеною в юрисдикціях із менш суворими вимогами до конфіденційності, наприклад, у рамках CCPA, де акцент робиться на правах споживачів на заперечення, а не на активній згоді. Навпаки, режим прямої згоди GDPR за замовчуванням краще захищає автономію та конфіденційність користувачів, змушуючи контролерів даних отримувати явний дозвіл перед будь-якими діями з обробки даних.