Õiguslik jälgimine nr 72 – juuni 2024.  

Suhtlus ja turundus sotsiaalmeedias: millised on professionaalide reeglid?

Sotsiaalvõrgustikud moodustavad andmekogumi, mida saab kasutada potentsiaalsete klientide sihtimiseks.

Nende andmete kasutamine, olenemata sellest, kas need on avalikult kättesaadavad sotsiaalvõrgustikus või kontaktide võrgustiku loomise kaudu, jääb seadusega reguleerituks.

See peab olema kooskõlas isikuandmete kaitse üldmääruse ja Euroopa elektroonilise side direktiivi (e-privaatsuse direktiiv) põhimõtetega.

Reeglid on erinevad näiteks siis, kui võtate ühendust ettevõttega („B2B“) või füüsilise isikuga („B2C“).

Inimeste ootused varieeruvad ka olenevalt sellest, kas on olemas eelnev suhe või mitte: pöörake erilist tähelepanu teabe kogumisele inimeste kohta, kes ei kuulu teie kontaktide võrgustikku (näiteks koguge potentsiaalsete klientide nimesid arutelugruppides).

Oluline on meeles pidada kolme olulist põhimõtet: läbipaistvus, asjaomaste inimeste õiguste austamine ja reageerimisvõime nende taotlustele.

• Esitage teavet kogutud andmete kohta.

Soovitatav on:

• Veebisuhtlusoperatsiooni, näiteks e-posti kampaania mõjude ennetamiseks, lisades sõnumi lõppu märkuse, milles selgitatakse eelkõige andmete päritolu ja suhtluse eesmärki.
• Artikli või funktsionaalse lingi pakkumiseks, mis viib andmetöötleja ja üksikisikute õiguste kohta käivale teabelehele.
• Pakkuda lihtsat kontakteerimisvõimalust (spetsiaalne e-post, kontaktvorm või privaatsõnum sotsiaalvõrgustikes), et võimaldada andmetele juurdepääsu, parandamise või kustutamise taotluste esitamist.
• Austa üksikisikute õigusi ja küsi vajadusel nende nõusolekut.

Mõned maavarade otsimise tehnikad võivad olla pealetükkivamad kui teised.

Näiteks LinkedInis võimaldab InMail (tasu eest) saata sõnumeid otse iga kasutaja postkasti, kes ei kuulu teie kontaktide võrgustikku.

Mõned turundustarkvarad võimaldavad edasiseks töötlemiseks importida ka kontakte (sh profiile ja fotosid) sotsiaalvõrgustikest, nagu LinkedIn, Facebook, Twitter, Viadeo, YouTube või Klout.

Need müügitehnikad peavad olema kooskõlas e-posti turunduse eeskirjadega, nagu on sätestatud isikuandmete kaitse üldmääruses ja e-privaatsuse direktiivis.

Seega tuletatakse meelde järgmisi põhimõtteid:

• Reklaami saaja eelneva nõusoleku saamine või nõusoleku saamine: see kehtib B2C-reklaami saatmise kohta e-posti, SMS-i, MMS-i, automatiseeritud kõnesüsteemi või faksi teel.
• Reklaami mittekuulutamise õiguse austamine, mis lubab saata pakkumisi ka siis, kui reklaami saaja pole vastuväiteid esitanud: see kehtib e-posti teel saadetava B2B-reklaami ja posti või telefoni teel saadetava B2C-reklaami kohta.
• Korraldage asjaomaste inimeste taotluste haldamist.

See hõlmab planeerimist:

• Tüüpiline vastus internetikasutajatele, kes näiteks kasutavad oma õigust esitada vastuväiteid ja/või taotleda juurdepääsu oma andmetele.
• Sisemine protseduur nende taotluste võimalikult kiireks menetlemiseks, kusjuures GDPR-is sätestatud standardne ajaraam on üks kuu.

Vastuse reageerimisvõime ja tõhusus on olulised, kuna need aitavad kaasa andmetöötleja mainele veebis.

 

Prantsuse andmekaitseamet (CNIL) teatas, et hakkab läbi viima kontrolle seoses olümpia- ja paraolümpiamängudega. pealtvaatajate privaatsuse austamise tagamiseks.

See keskendub eelkõige nn täiustatud kaameraseadmetele, piiratud alade QR-koodidele, piletimüügiteenustele ja vabatahtlike andmetele.

CNIL registreeris pärast Euroopa Parlamendi valimisi 167 GDPR-i rikkumise teadet.

Ennetähtaegsete seadusandlike valimiste kontekstis tuletab see erakondadele meelde järgitavaid reegleid ja teavitab neid, et viib läbi kontrolle valimiste kontekstis laekuvate aruannete arvu ja laadi põhjal.

Pärast praktiliste juhendite avaldamist eelmise aasta aprillis 10. juunil avaldas CNIL teise seeria teabelehti ja küsimustiku, mis on pühendatud tehisintellekti (AI) süsteemide arendamise reguleerimisele.

 Nende uute tööriistade eesmärk on aidata spetsialistidel ühildada innovatsiooni inimeste õiguste austamisega ning keskenduda eelkõige õigustatud huvi õiguslikule alusele, läbipaistvusele, inimeste õigustele, andmete annoteerimisele ja tehisintellekti süsteemi arendamise turvalisusele.

Teabelehed on avalikuks konsultatsiooniks avatud kuni 1. septembrini 2024.

Lõpuks uurib CNIL 4. juulil avaldatud uuringus kolmandate osapoolte küpsiste abil jälgimistehnikate alternatiivide väljatöötamine ja nende tagajärgede kohta (vt ka allpool Google'i „privaatsuse liivakasti” tõstatatud küsimusi).

 

Euroopa institutsioonid ja organid

1. juulil teavitas Euroopa Komisjon Metat oma esialgsetest järeldustest, mille kohaselt ettevõtte „maksa või nõusoleku” reklaamimudel ei ole kooskõlas digitaalsete turgude seadusega. (DMA, artikli 5 lõige 2).

Need järeldused kinnitavad Euroopa Andmekaitsenõukogu (EDPB) poolt eelmise aasta aprillis avaldatud tulemusi.

Komisjoni sõnul sunnib see binaarne valik kasutajaid oma isikuandmete kombineerimiseks nõusolekut andma ega paku neile Meta sotsiaalvõrgustike vähem isikupärastatud, kuid samaväärset versiooni.

Need esialgsed järeldused ei mõjuta uurimise tulemust.

Metal on nüüd võimalus kasutada oma õigust kaitsele ja vastata kirjalikult.

Komisjon lõpetab uurimise 12 kuu jooksul alates menetluse algatamisest, 25. märtsil 2024.

Kui komisjoni esialgsed järeldused lõpuks kinnitust leiavad, võib komisjon määrata Meta-le trahve kuni 10% ulatuses ettevõtte ülemaailmsest kogukäibest ja korduvate rikkumiste korral 20% ulatuses ettevõtte ülemaailmsest kogukäibest.

Andmehalduse määruse (DGA) kohaselt avaldas Euroopa Komisjon nimekirja esimestest liikmesriikide poolt talle teatatud „andmevahendajatest”.

Andmevahendajad toimivad neutraalsete kolmandate osapooltena, kes ühendavad üksikisikuid ja ettevõtteid andmekasutajatega.

Registreeriti viis ettevõtet, millest kolm asuvad Prantsusmaal: AGDATAHUB, Hub One DataTrust ja M-ITRUST. Ülejäänud kahe kohta teatasid Soome ja Ungari (AFCDP kaudu).

Euroopa Andmekaitsenõukogu käivitas projekti „Tehisintellekti auditeerimine” 27. juunil. Selle eesmärk on aidata andmekaitseasutustel tehisintellekti süsteeme kontrollida, määratledes kontrollnimekirja vormis metoodika algoritmi auditeerimiseks ja pakkudes välja vahendeid nende läbipaistvuse parandamiseks.

Euroopa andmekaitseinspektor (EDPS) avaldas oma suunised "generatiivse tehisintellekti ja isikuandmete kaitse" kohta 3. juunil. et anda ELi institutsioonidele, organitele, ametitele ja asutustele praktilisi nõuandeid ja juhiseid isikuandmete töötlemise kohta generatiivsete tehisintellekti süsteemide kasutamisel ning hõlbustada neil andmekaitse õigusraamistiku nõuete järgimist.

Tehnoloogia andmekaitse rahvusvaheline töörühm (IWGDPT) võttis 5. juunil vastu näotuvastustehnoloogiat käsitleva töödokumendi.

Dokument kirjeldab kasutusvõimalusi era- ja avalikus sektoris ning esitab nii riskid kui ka praktilised soovitused andmekaitse nõuetele vastava rakenduse jaoks.

20. juunil otsustas Euroopa Liidu Kohus kohtuasjas C-590/22, et Andmesubjekti hirm, et tema isikuandmeid on avalikustatud kolmandatele isikutele, on piisav, et tekitada hüvitist, kui see hirm koos oma negatiivsete tagajärgedega on nõuetekohaselt tõestatud.

Selle hüvitise õigustamiseks ei ole vaja tõendada, et neid andmeid on tegelikult kolmandatele isikutele edastatud (GDPR-i uudiste kaudu).

Kohus leidis 20. juunil liidetud kohtuasjades C-182/22 ja C-189/22 – Scalable Capital samuti, et Isikuandmete rikkumisest tingitud moraalne kahju ei ole oma olemuselt vähem oluline kui füüsiline kahju..

Lisaks peab sündmuse identiteedivarguseks liigitamiseks kolmas isik olema isikuandmeid tegelikult väärkasutanud.

6. juuni otsuses (Bersheda ja Rybolovlev vs. Monaco) leidis Euroopa Inimõiguste Kohus, et eeluurimiskohtuniku poolt advokaadi mobiiltelefoni teel läbiviidud uurimised ja isikuandmete – sealhulgas andmete, mille taotleja oli varem kustutanud – massiline ja valimatu hankimine ületas selle kohtuniku pädevust ning sellega ei kaasnenud kaitsemeetmeid, mis oleksid taganud taotleja kui juristi staatuse ja ametisaladuse austamise.

Kodanikuühiskonna ja digiteenuste õigusakti (DSA) rakendamise eest vastutava Euroopa asutuse surve all LinkedIn on oma platvormilt eemaldanud reklaamide sihtimise, mis põhineb kasutajate tundlikel isikuandmetel..

Sellist sihtimist peeti DSA rikkumiseks.

Ettevõte Meta kinnitas juuni keskel, et peatab oma plaanid treenida oma tehisintellekti süsteeme kasutajaandmete abil ELis ja Ühendkuningriigis.

Projekt sihtis Facebooki, Instagrami ja Threadsi kasutajaandmeid.

See otsus järgneb Iirimaa andmekaitsekomisjoni tegevusele, mis tegutseb mitmete ELi andmekaitseasutuste ja eelkõige Hamburgi ametiasutuse nimel.

 

Uudised Euroopa liikmesriikidest.

Belgia APD määras 3. juunil ettevõttele 172 000 euro suuruse trahvi, kuna see ei olnud täitnud andmete kustutamise nõuet ja jätkas otseturundusmeilide saatmist.

Andmekaitseasutus ei võtnud arvesse andmetöötleja argumente, mille eesmärk oli süü andmekaitseametnikule veeretada: andmetöötleja kohustus on vastata juurdepääsutaotlustele ja tagada, et andmekaitseametnikul on piisavad ressursid.

KreekasAPD määras siseministeeriumile ja Euroopa Parlamendi liikmele vastavalt 400 000 ja 40 000 euro suurused trahvid soovimatute poliitiliste teadete saatmise eest, kusjuures siseministeerium oli Euroopa Parlamendi liikmele edastanud asjaomaste isikute e-posti aadressid.

Luksemburgis APD leidis, et videovalve kasutamine töötaja vallandamise õigustamiseks rikub isikuandmete kaitse üldmääruse eesmärgi piiramise põhimõtet, kui see oli algselt paigaldatud töötajate turvalisuse tagamiseks.

Hollandis Kohus keelas Microsoftil, LinkedInil ja Xandril paigutada jälgimisküpsiseid kolmandate osapoolte veebisaitidele ilma kasutaja nõusolekuta ning määras ettevõttele 1000 euro suuruse trahvi iga otsuse mittetäitmise päeva eest.

Kohus leidis, et need platvormid vastutavad kehtiva nõusoleku kogumise eest isegi siis, kui nad usaldavad selle kogumise kolmandate osapoolte veebisaitidele, mis integreerivad oma jälgimistehnoloogiad.

TaanisAPD noomis Kopenhaageni linna selle eest, et see ei suutnud takistada 37 500 volitamata töötaja võimalikku juurdepääsu 3,7 miljoni inimese isikuandmetele.

Läti APD määras lõbustuspargis fotograafiateenuseid pakkuvale ettevõttele 1000 euro suuruse trahvi.

Ettevõte pildistas külastajaid kaudse nõusoleku alusel, mida ei saa pidada positiivseks teoks.

ItaaliasAPD määras ettevõttele 100 000 euro suuruse trahvi telefoninumbrite ebaseadusliku töötlemise eest telemarketingi eesmärgil.

APD leidis, et andmetöötleja ei saa oma GDPR-i kohaseid kohustusi ja vastutust alltöövõtjale lepingulise klausliga üle anda.

Rootsi ametlik arenguabi Avanza Bank AB-le määrati 1 318 955,55 euro (15 miljoni Rootsi krooni) suurune trahv isikuandmete kaitse üldmääruse artikli 5(1)(f) ja artikli 32 rikkumise eest, mille tulemusel edastati Meta Pixelile volitamata isikuandmeid kahe Meta Pixeli funktsiooni kogemata aktiveerimise tõttu.

Poolas on ametlik arenguabi trahvis ettevõtet 54 600 euroga pärast seda, kui krüpteerimata töötajate andmeid sisaldava USB-mälupulga kadumine viis andmete rikkumiseni.

13. juunil Valitsusväline organisatsioon NOYB on esitanud Austria andmekaitseametile (APD) kaebuse Google'i tavade kohta seoses isikuandmete kogumisega oma "privaatsuse liivakasti" kaudu.

Valitsusväline organisatsioon juhib tähelepanu sellele, et alates Google'i 2023. aasta septembrikuu teatest, et eemaldab järk-järgult kolmandate osapoolte küpsised oma Chrome'i brauserist, on kasutajaid järk-järgult julgustatud aktiveerima nn reklaamide privaatsusfunktsiooni, mis tegelikkuses võimaldaks Google'il neid jälgida.

4. juunil esitas NOYB Austrias kaebuse ka Microsofti vastu, kelle "365 Education" teenused väidetavalt rikuvad laste andmekaitseõigusi.

Valitsusvälise organisatsiooni sõnul teatas Microsoft õpilastele isikuandmete kaitse üldmääruse (GDPR) alusel oma õigusi teostades, et koolid on nende andmete eest „vastutavad“, kuigi koolidel puudub kontroll Microsofti süsteemide üle.

Eu Travel Techi ühing esitas mai lõpus Prantsusmaa ja Belgia andmekaitseasutustele Ryanairi vastu kaebuse seoses hiljutise nõude rakendamisega töödelda klientide biomeetrilisi andmeid broneeringute haldamise ja veebipõhise registreerimise funktsioonide kasutamiseks.

Ühing leiab, et see biomeetrilise tuvastamise protsess rikub isikuandmete kaitse üldmääruse (AFCDP kaudu) seaduslikkuse, õigluse ja läbipaistvuse põhimõtteid.

 

OECD avaldas 26. juunil aruanne tehisintellekti, andmehalduse ja privaatsuse kaitse kohta.

See aruanne annab ülevaate riiklikest ja piirkondlikest algatustest ning pakub välja potentsiaalseid koostöövaldkondi.

Parema rahvusvahelise koostöö propageerimisega on aruande eesmärk suunata privaatsust austavate ja toetavate tehisintellekti süsteemide arendamist.

OECD avaldas 19. juunil ka töödokument pealkirjaga „Laste digitaalse turvalisuse kavandamine“.

Dokument keskendub digitaalsete teenuste pakkujate võetavatele meetmetele ja pakub välja kaheksa peamist meedet, sealhulgas praktilised vahendid, turvakultuuri edendamise meetmed ja kahjude leevendamise strateegiad.

Neid elemente illustreerivad juhtumiuuringud, mis rõhutavad vajadust rakendada kontekstile kohandatud lähenemisviise.

California privaatsusamet (CPPA) ja CNIL on allkirjastanud koostöödeklaratsiooni., 25. juunil 2024 Pariisis.

CNIL märgib, et need kaks ametivõimu kavatsevad ühendada oma jõupingutused Prantsuse ja California kodanike isikuandmete kaitse tugevdamiseks.

Väidetavalt on Nvidia (üks tehisintellekti andmetöötluse pooljuhtide juhtivaid tarnijaid), Microsoft ja OpenAI monopolidevastane uurimine Ameerika Ühendriikides.

Politico raporti kohaselt teevad justiitsministeerium (DOJ) ja föderaalne kaubanduskomisjon (FTC) selles küsimuses koostööd. Justiitsministeerium keskendub Nvidiale ja FTC uurib Microsofti ja OpenAI partnerlust, et teha kindlaks, kas neil on ebaõiglane eelis.

Jaapan võttis 12. juunil vastu seaduse, mis sarnaneb Euroopa digitaalsete turgude määrusega (DMA).

Tekst sisaldaks „kohustusi tagada koostalitlusvõime, läbipaistvus ja andmete teisaldatavus”.

Seadus jõustub 2025. aasta detsembri lõpus.

Ameerika ettevõte Dropbox teatas mai alguses, et on langenud küberrünnaku ohvriks..

Pahatahtlik sissetung puudutab ettevõtte turvalist elektroonilise dokumendiallkirjastamise platvormi Dropbox Sign, endise nimega HelloSign.

Varastatud andmete hulgas on nimed, e-posti aadressid, krüpteeritud paroolid, makseteave ja autentimisteave.

Ettevõte väidab, et on lähtestanud kõigi kasutajate paroolid ja katkestanud kõik seansid (AFCDP kaudu).