Αναλύοντας το κοινό σας για καλύτερη επικοινωνία... ποιοι είναι οι κανόνες;

Νομική Παρακολούθηση Αρ. 49 – Ιούλιος 2022

Αναλύοντας το κοινό σας για καλύτερη επικοινωνία... ποιοι είναι οι κανόνες; Σήμερα, τα μέσα ενημέρωσης και τα κοινωνικά δίκτυα επιτρέπουν στις επιχειρήσεις να αναλύουν το κοινό τους, προκειμένου να το στοχεύουν καλύτερα, να βελτιώνουν την εικόνα τους και να προσαρμόζουν τη στρατηγική μάρκετινγκ τους.

Είναι επομένως δυνατό, και ολοένα και πιο συνηθισμένο, να απευθυνθούμε σε μια εταιρεία «παρακολούθησης κοινωνικών μέσων» η οποία θα «χτενίσει» τον ιστό, θα παρακολουθήσει τις πιο σχετικές συζητήσεις στα κοινωνικά δίκτυα και θα παρέχει στους πελάτες της αναφορές και αναλύσεις προσαρμοσμένες στις ανάγκες τους.

Αν και δημόσια, τα δεδομένα που αναλύονται κατ' αυτόν τον τρόπο είναι συχνά προσωπικά δεδομένα που παραμένουν προστατευμένα από τον ΓΚΠΔ, είτε πρόκειται για influencers, δημοσιογράφους είτε για άλλα άτομα που δραστηριοποιούνται σε κοινωνικά δίκτυα.

Ποιος πρέπει να συμμορφώνεται με αυτές τις υποχρεώσεις;

Κατά τη σύναψη σύμβασης με εξωτερικό συνεργάτη για την αξιολόγηση του τρόπου με τον οποίο γίνεται αντιληπτή η υπηρεσία στα μέσα κοινωνικής δικτύωσης, η εταιρεία-πελάτης θεωρείται ο υπεύθυνος επεξεργασίας δεδομένων για την υπηρεσία που αφορά η σύμβαση και η εταιρεία παρακολούθησης μέσων ενημέρωσης είναι ο υπεργολάβος.

Οι επιπτώσεις είναι σημαντικές, καθώς συνεπάγεται ευθύνη για τον τρόπο συλλογής, επεξεργασίας και αποθήκευσης των δεδομένων των μέσων κοινωνικής δικτύωσης.

Συνεπώς, συνιστάται να ελέγχονται διάφορα στοιχεία κατά τη σύναψη μιας τέτοιας σύμβασης, προκειμένου να διασφαλιστεί ότι οι πρακτικές της εταιρείας που διεξάγει την «παρακολούθηση των μέσων ενημέρωσης» συμμορφώνονται με τον ΓΚΠΔ:

• Πού βρίσκεται η εταιρεία;

Εάν η εταιρεία είναι εγκατεστημένη εκτός ΕΕ, είναι σημαντικό να ελεγχθεί η ισχύουσα νομοθεσία, ιδίως εάν η εταιρεία δεν βρίσκεται σε χώρα που προσφέρει επαρκές επίπεδο προστασίας.

Σε αυτήν την περίπτωση, θα πρέπει να χρησιμοποιήσει συγκεκριμένες εγγυήσεις για να διασφαλίσει την προστασία των δεδομένων, τις περισσότερες φορές τυποποιημένες συμβατικές ρήτρες.

• Παρέχει η εταιρεία το όνομα και τα στοιχεία επικοινωνίας του DPO της;

• Δημοσιεύει την πολιτική απορρήτου για την προστασία δεδομένων στον ιστότοπό της ή μπορεί να διατεθεί κατόπιν αιτήματος;

Λάβετε υπόψη ότι πρέπει να γίνει διάκριση μεταξύ της πολιτικής προστασίας δεδομένων για τον ιστότοπο και της πολιτικής επεξεργασίας δεδομένων για τις υπηρεσίες παρακολούθησης μέσων ενημέρωσης.

• Περιλαμβάνονται οι ακόλουθες λεπτομέρειες σε αυτό το έγγραφο ή/και στη σύμβαση;

• Αντίστοιχοι ρόλοι ως υπεργολάβος ή υπεύθυνος επεξεργασίας δεδομένων, εύρος των ευθυνών κάθε ατόμου·

• Όροι συλλογής δεδομένων προσωπικού χαρακτήρα, πηγή δεδομένων, τύποι δεδομένων που συλλέγονται και τόπος αποθήκευσης, τρόπος με τον οποίο τα δεδομένα αυτά συγκεντρώνονται ή ψευδωνυμοποιούνται, όπου εφαρμόζεται·

• Νομική βάση;

• Περίοδος διατήρησης δεδομένων;

• Μέτρα ασφαλείας και εμπιστευτικότητας·

• Μεταφορά δεδομένων εκτός ΕΕ·

• Πληροφορίες για τα ενδιαφερόμενα πρόσωπα και τρόποι άσκησης των δικαιωμάτων τους.

Είναι καλύτερο να εμπιστεύεστε εταιρείες που παρέχουν το μεγαλύτερο επίπεδο λεπτομέρειας σχετικά με αυτά τα διάφορα στοιχεία.

Αυτό δεν απαλλάσσει την εταιρεία-πελάτης από την υποχρέωση να λάβει η ίδια πρόσθετα μέτρα ως υπεύθυνος επεξεργασίας δεδομένων.

Όσον αφορά ειδικότερα την ενημέρωση των ενδιαφερομένων, μπορεί να θεωρηθεί ότι η άμεση ενημέρωση συνεπάγεται δυσανάλογες προσπάθειες.

Ωστόσο, μπορεί να προστεθεί μια ενημερωτική ειδοποίηση στην πολιτική προστασίας δεδομένων του ιστότοπου, η οποία θα ενημερώνει το κοινό γενικά για τις αναλύσεις κοινού που πραγματοποιούνται, θα προσδιορίζει τις διάφορες ευθύνες και δικαιώματα και θα παραπέμπει στον ιστότοπο του εξωτερικού συνεργάτη για περισσότερες λεπτομέρειες.

Και επίσης

Γαλλία:

Το CNIL δημοσίευσε τη θέση του σχετικά με τις επαυξημένες κάμερες στις 19 Ιουλίου και ζητά μια συνολική αναστοχασμό σχετικά με την ορθή χρήση αυτών των εργαλείων σε δημόσιους χώρους.

Η Επιτροπή επισημαίνει τον κίνδυνο εκτεταμένης επιτήρησης και ανάλυσης που θα μπορούσε, ως απάντηση, να τροποποιήσει τη συμπεριφορά των ανθρώπων που περπατούν στον δρόμο ή πηγαίνουν στα καταστήματα.

Επισημαίνει ότι η γαλλική νομοθεσία δεν επιτρέπει τη χρήση ενισχυμένων καμερών από τις δημόσιες αρχές για την ανίχνευση και τη δίωξη αδικημάτων και πιστεύει ότι είναι απαραίτητο να τεθούν κόκκινες γραμμές ώστε να μην χρησιμοποιούνται ποτέ αυτές οι κάμερες με σκοπό την «αξιολόγηση» ανθρώπων.

Στις 26 Ιουλίου, η CNIL δημοσίευσε συστάσεις σχετικά με τον έλεγχο ηλικίας σε ιστότοπους: Ζητά την ανάπτυξη πιο αποτελεσματικών και φιλικών προς την ιδιωτικότητα λύσεων, με αναφορά στη χρήση τραπεζικών καρτών και την αναγνώριση προσώπου.

Υποστηρίζει επίσης την ανάπτυξη του ρόλου των αξιόπιστων τρίτων μερών.

Η CNIL επέβαλε επίσης πρόστιμο 175.000 ευρώ στην εταιρεία Ubeeqo International στις 21 Ιουλίου. εταιρεία ενοικίασης αυτοκινήτων, ιδίως για την πρόκληση δυσανάλογης παραβίασης της ιδιωτικής ζωής των πελατών της, εντοπίζοντάς τους γεωγραφικά σχεδόν μόνιμα.

Ευρώπη:

Οι δύο ευρωπαϊκοί κανονισμοί για τις ψηφιακές αγορές και τις ψηφιακές υπηρεσίες (DMA και DSA) εγκρίθηκαν από το Ευρωπαϊκό Κοινοβούλιο στις 5 Ιουλίου με πολύ μεγάλη πλειοψηφία.

Η DMA εγκρίθηκε επίσης τελικά από το Συμβούλιο τον Ιούλιο, ενώ η DSA αναμένεται να εγκριθεί τον Νοέμβριο.

Η Επιτροπή εξετάζει ήδη τη δημιουργία ενός εξειδικευμένου τμήματος για τη διασφάλιση της συμμόρφωσης με την DMA από τους ψηφιακούς κολοσσούς.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) απάντησε στη συλλογή προσωπικών δεδομένων από το TikTok με επιστολή της 28ης Ιουλίου προς αρκετές ΜΚΟ.

Υπογραμμίζει την ταχεία δράση που ανέλαβαν οι ιρλανδικές, ιταλικές και ισπανικές εποπτικές αρχές μετά την ανακοίνωση του TikTok ότι δεν θα ζητά πλέον τη συγκατάθεση των χρηστών για την αποστολή εξατομικευμένων διαφημίσεων (η νομική βάση καθίσταται το έννομο συμφέρον του TikTok και των συνεργατών του).

Μετά από αυτές τις ενέργειες, το TikTok ανακοίνωσε ότι ανέστειλε αυτήν την αλλαγή νομικής βάσης.

Η Επιτροπή έλαβε επίσης θέση ενώπιον του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) σχετικά με τον προτεινόμενο κανονισμό για την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών.

Η πρόταση αποσκοπεί στην επιβολή υποχρεώσεων σε διάφορες διαδικτυακές υπηρεσίες που σχετίζονται με την ανίχνευση, την αναφορά, την αφαίρεση και τον αποκλεισμό διαδικτυακού υλικού σεξουαλικής κακοποίησης παιδιών (CSAM) και της άγρας παιδιών.

Υπενθυμίζοντας ότι θεωρούν αυτά τα εγκλήματα ιδιαίτερα σοβαρά και αποτρόπαια, οι εποπτικές αρχές σημειώνουν ότι ο παρεμβατικός χαρακτήρας της πρότασης, στην τρέχουσα μορφή της, μπορεί να παρουσιάζει περισσότερους κινδύνους για τα άτομα και, κατ' επέκταση, για την κοινωνία στο σύνολό της, από ό,τι για τους εγκληματίες που διώκονται από την CSAM.

Το ΕΣΠΔ και ο ΕΕΠΔ εξέδωσαν τη γνώμη τους σχετικά με την πρόταση της Ευρωπαϊκής Επιτροπής για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (EHDS).

Η πρόταση αποσκοπεί στη δημιουργία μιας «Ευρωπαϊκής Ένωσης Υγείας» «αξιοποιώντας πλήρως τις δυνατότητες που προσφέρει η ασφαλής ανταλλαγή, χρήση και επαναχρησιμοποίηση δεδομένων υγείας».

Η γνωμοδότηση επισημαίνει ιδιαίτερα τους κινδύνους που συνδέονται με τη δευτερογενή χρήση ηλεκτρονικών δεδομένων υγείας, η οποία μπορεί να αποφέρει οφέλη για το δημόσιο καλό, αλλά δεν είναι χωρίς κινδύνους για τα δικαιώματα και τις ελευθερίες των ατόμων.

Το EDPB δημοσίευσε τη θέση του σχετικά με τις μεταφορές προς τη Ρωσία στις 12 Ιουλίου.

Η Επιτροπή δεν σχολιάζει την εξέλιξη του επιπέδου προστασίας δεδομένων σε αυτήν τη χώρα από την έναρξη του πολέμου, αλλά επισημαίνει ότι οι διαβιβάσεις πρέπει να υπόκεινται σε ανάλυση επιπτώσεων κατά περίπτωση.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης δημοσίευσε μια σημαντική απόφαση την 1η Αυγούστου σχετικά με το πεδίο εφαρμογής της προστασίας των ευαίσθητων δεδομένων.

Η έννοια των «ειδικών κατηγοριών» δεδομένων προσωπικού χαρακτήρα θα πρέπει να ερμηνεύεται ευρέως, ιδίως για να διασφαλιστεί η επίτευξη του στόχου του άρθρου 9(1) του ΓΚΠΔ.

Ο εν λόγω λιθουανικός νόμος, σχετικά με την πρόληψη των συγκρούσεων συμφερόντων και της διαφθοράς, απαιτούσε τη δημοσίευση του ονόματος του συντρόφου του δημόσιου λειτουργού.

Το Δικαστήριο έκρινε ότι αυτές οι πληροφορίες θα μπορούσαν να αποκαλύψουν πληροφορίες σχετικά με τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό του αστυνομικού και της συντρόφου του.

Στη Νορβηγία, η αρχή προστασίας δεδομένων έχει ξεκινήσει συνεργασία με τα συνδικάτα για την παρακολούθηση της επιτήρησης με κάμερες στον χώρο εργασίας.

Η Επιτροπή Προσφυγών της Αρχής συμφώνησε περαιτέρω ότι μια αποκτώσα εταιρεία αναλαμβάνει την ευθύνη για τον υπεύθυνο επεξεργασίας δεδομένων πριν από την απόκτηση, και επιβεβαίωσε την απόφαση επιβολής προστίμου περίπου 12.000 ευρώ για παράνομη αξιολόγηση πιστοληπτικής ικανότητας κατά παράβαση του άρθρου 6(1) του ΓΚΠΔ (μέσω GDPRhub)

Η Αρχή Προστασίας Δεδομένων της Κάτω Σαξονίας επέβαλε πρόστιμο ενός εκατομμυρίου ευρώ στη Volkswagen για παραβιάσεις της προστασίας δεδομένων κατά τη χρήση ενός δοκιμαστικού οχήματος με κάμερες. που αποσκοπεί στη βελτίωση των συστημάτων υποβοήθησης οδηγού και πρόληψης ατυχημάτων.

Το αυτοκίνητο της δοκιμής οδηγήθηκε χωρίς καμία ορατή πληροφορία στο πεδίο παρακολούθησης των καμερών.

Η Δανική DPA επέπληξε την Αρχή Δεδομένων Υγείας για την παράλειψή της να ελέγξει τη βάση δεδομένων φαρμάκων της. για την ανίχνευση σφαλμάτων αρχιτεκτονικής υπηρεσιών, τα οποία οδήγησαν σε παραβίαση δεδομένων που επηρέασε 267 άτομα (μέσω του GDPRhub).

Η DPA επέπληξε επίσης τον Δήμο του Χέλσινγκορ για τη χρήση των Google Chromebooks και του "Google Workspace for Education" στα δημοτικά σχολεία.

Έχει απαγορεύσει αυτήν την επεξεργασία μέχρι να συμμορφωθεί με τον ΓΚΠΔ και έχει αναστείλει τυχόν σχετικές μεταφορές δεδομένων προς τις Ηνωμένες Πολιτείες (μέσω του GDPRhub).

Σε σχετική σημείωση, στην Ολλανδία, οι φοιτητές και το προσωπικό κατευθύνονται πλέον στο DuckDuckGo για τις αναζητήσεις τους στο διαδίκτυο αντί για την Αναζήτηση Google.

Η Σλοβενική Αρχή Προστασίας Δεδομένων αναταξινόμησε μια συμφωνία μεταξύ ενός παρόχου υπηρεσιών cloud και των πελατών του: διαπίστωσε ότι δεν υπήρχε σχέση υπευθύνου επεξεργασίας/εκτελούντος την επεξεργασία, αλλά μάλλον κοινές ευθύνες., καθώς και τα δύο μέρη έλαβαν αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας (μέσω του GDPRhub)

Το Επιμελητήριο Δημοσίων Συμβάσεων του Βάδης-Βυρτεμβέργης σημειώνει ότι η διαβίβαση προσωπικών δεδομένων σε τρίτη χώρα (εκτός ΕΕ) είναι απαράδεκτη βάσει του ΓΚΠΔ., ακόμη και αν ο αντίστοιχος διακομιστής λειτουργεί από εταιρεία με έδρα την ΕΕ, εφόσον αποτελεί μέρος αμερικανικού ομίλου.

Διεθνές:

Η ΜΚΟ Data Rights και οι κενυατικοί συνεργαζόμενοι οργανισμοί της, η Επιτροπή Ανθρωπίνων Δικαιωμάτων της Κένυας και το Φόρουμ Δικαιωμάτων της Νουβίας, μηνύουν την IDEMIA, μια κορυφαία γαλλική εταιρεία βιομετρικής τεχνολογίας, στο δικαστήριο του Παρισιού..

Αυτές οι οργανώσεις κατηγορούν την IDEMIA ότι δεν έλαβε υπόψη τα ανθρώπινα δικαιώματα στο σχέδιο επαγρύπνησής της σχετικά με τη συλλογή βιομετρικών δεδομένων από τον πληθυσμό για την ανάπτυξη ενός εθνικού συστήματος ψηφιακής ταυτοποίησης στην Κένυα.

Η Daily Mail της 13ης Ιουλίου συζητά τη χρήση τεχνητής νοημοσύνης από την Κίνα για τη «βελτίωση» της λειτουργίας των δικαστηρίων της: Οι υπολογιστές θα διορθώνουν τα αντιληπτά ανθρώπινα λάθη σε μια ετυμηγορία, απαιτώντας από τους δικαστές να υποβάλουν γραπτή εξήγηση στο μηχάνημα εάν διαφωνούν με τις διορθώσεις της Τεχνητής Νοημοσύνης.

Η Βρετανία και οι Ηνωμένες Πολιτείες θα αρχίσουν να ανταλλάσσουν δεδομένα που σχετίζονται με έρευνες των αρχών επιβολής του νόμου τον Οκτώβριο, στο πλαίσιο συμφωνίας CLOUD μεταξύ των δύο χωρών.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.