Yleisösi analysointi paremman kommunikoinnin varmistamiseksi... mitkä ovat säännöt?

Oikeudellinen valvonta nro 49 – Heinäkuu 2022

Yleisösi analysointi paremman kommunikoinnin varmistamiseksi... mitkä ovat säännöt? Nykyään media ja sosiaaliset verkostot antavat yrityksille mahdollisuuden analysoida yleisöään voidakseen kohdistaa mainontansa paremmin, parantaa imagoaan ja mukauttaa markkinointistrategiaansa.

Siksi on mahdollista ja yhä yleisempää kääntyä "sosiaalisen median seurantayrityksen" puoleen, joka kartoittaa verkkoa, seuraa sosiaalisten verkostojen olennaisimpia keskusteluja ja tarjoaa asiakkailleen heidän tarpeisiinsa räätälöityjä raportteja ja analyysejä.

Vaikka analysoitu data on julkista, se on usein henkilötietoja, joita suojaa GDPR, olipa kyseessä sitten vaikuttajat, toimittajat tai muut sosiaalisissa verkostoissa aktiiviset henkilöt.

Kenen on täytettävä nämä velvoitteet?

Kun tehdään sopimus ulkopuolisen kumppanin kanssa arvioidakseen, miten yritys näkee itsensä sosiaalisessa mediassa, asiakasyritystä pidetään sopimuspalvelun rekisterinpitäjänä ja mediaseurantayritystä alihankkijana.

Seuraukset ovat merkittäviä, sillä niihin liittyy vastuu siitä, miten sosiaalisen median tietoja kerätään, käsitellään ja tallennetaan.

Siksi on suositeltavaa tarkistaa useita tekijöitä tällaista sopimusta tehtäessä sen varmistamiseksi, että "mediaseurantaa" suorittavan yrityksen käytännöt ovat GDPR:n mukaisia:

• Missä yritys sijaitsee?

Jos yritys on perustettu EU:n ulkopuolella, on tärkeää tarkistaa sovellettava lainsäädäntö, erityisesti jos yritys ei sijaitse maassa, joka tarjoaa riittävän suojan tason.

Tässä tapauksessa sen on käytettävä erityisiä takeita tietosuojan varmistamiseksi, useimmiten vakiosopimuslausekkeita.

• Antaako yritys tietosuojavastaavansa nimen ja yhteystiedot?

• Julkaiseeko se tietosuojakäytäntönsä verkkosivuillaan, vai voidaanko se asettaa saataville pyynnöstä?

Huomaa, että tässä on erotettava toisistaan verkkosivuston tietosuojakäytäntö ja mediaseurantapalveluiden tietojenkäsittelykäytäntö.

• Sisältyvätkö seuraavat tiedot tähän asiakirjaan ja/tai sopimukseen?

• Alihankkijan tai rekisterinpitäjän roolit, kunkin henkilön vastuualueiden laajuus;

• Henkilötietojen keräämisen ehdot, tietolähde, kerättyjen tietojen tyypit ja tallennuspaikka, tapa, jolla nämä tiedot kootaan tai pseudonymisoidaan soveltuvin osin;

• Oikeusperusta;

• Tietojen säilytysaika;

• Turvallisuus- ja luottamuksellisuustoimenpiteet;

• Tietojen siirto EU:n ulkopuolelle;

• Tietoa asianomaisille ja heidän oikeuksiensa käyttämistä koskevista tavoista.

On parasta luottaa yrityksiin, jotka tarjoavat tarkimman mahdollisen tiedon näistä eri tekijöistä.

Tämä ei vapauta asiakasyritystä itse toteuttamasta lisätoimenpiteitä rekisterinpitäjänä.

Erityisesti asianomaisten henkilöiden tiedottamisen osalta voidaan katsoa, että suora tiedottaminen vaatii kohtuutonta vaivaa.

Verkkosivuston tietosuojakäytäntöön voidaan kuitenkin lisätä tiedote, jossa tiedotetaan yleisölle yleisesti suoritetuista yleisöanalyyseistä, täsmennetään eri vastuut ja oikeudet sekä viitataan lisätietoja varten ulkoisen kumppanin verkkosivustolle.

Ja myös

Ranska:

CNIL julkaisi kantansa lisäkameroihin 19. heinäkuuta ja kehottaa pohtimaan kokonaisvaltaisesti näiden työkalujen asianmukaista käyttöä julkisissa tiloissa.

Komissio viittaa laajamittaisen valvonnan ja analyysin riskiin, joka voisi vastauksena muuttaa kadulla kävelevien tai kaupoissa käyvien ihmisten käyttäytymistä.

Hän huomauttaa, että Ranskan laki ei salli viranomaisten käyttää tehostettuja kameroita rikosten havaitsemiseen ja syytteeseenpanoon, ja uskoo, että on tarpeen asettaa rajat sille, ettei näitä kameroita koskaan käytetä ihmisten "luokitteluun".

CNIL julkaisi 26. heinäkuuta suosituksia verkkosivustojen ikärajoituksista: Se kehottaa kehittämään tehokkaampia ja yksityisyyttä suojaavampia ratkaisuja, viitaten pankkikorttien käyttöön ja kasvojentunnistukseen.

Se tukee myös luotettavien kolmansien osapuolten roolin kehittämistä.

CNIL määräsi myös 175 000 euron sakon Ubeeqo International -yhtiölle 21. heinäkuuta. autonvuokrausyritystä, erityisesti siitä, että se loukkasi kohtuuttomasti asiakkaidensa yksityisyyttä paikantamalla heidät lähes pysyvästi.

Eurooppa:

Euroopan parlamentti hyväksyi 5. heinäkuuta erittäin suurella enemmistöllä kaksi digitaalisia markkinoita ja digitaalisia palveluita koskevaa eurooppalaista asetusta (DMA ja DSA).

Neuvosto hyväksyi myös DMA:n lopulta heinäkuussa, kun taas DSA:n odotetaan hyväksyttävän marraskuussa.

Komissio harkitsee jo erikoistuneen osaston perustamista varmistamaan, että digitaaliset jättiläiset noudattavat DMA:ta.

Euroopan tietosuojaneuvosto (EDPB) vastasi TikTokin henkilötietojen keräämiseen 28. heinäkuuta useille kansalaisjärjestöille lähettämässään kirjeessä.

Se korostaa Irlannin, Italian ja Espanjan valvontaviranomaisten nopeita toimia TikTokin ilmoituksen jälkeen, ettei se enää pyydä käyttäjien suostumusta personoitujen mainosten lähettämiseen (oikeusperustaksi tulee TikTokin ja sen kumppaneiden oikeutettu etu).

Näiden toimien jälkeen TikTok ilmoitti keskeyttävänsä tämän oikeusperustan muutoksen.

Valiokunta otti myös kantaa Euroopan tietosuojavaltuutetun (EDPS) kanssa ehdotettuun asetukseen lasten seksuaalisen hyväksikäytön ehkäisemiseksi ja torjumiseksi.

Ehdotuksen tarkoituksena on asettaa useille verkkopalveluille velvoitteita, jotka liittyvät lasten seksuaaliseen hyväksikäyttöön liittyvän verkkomateriaalin (CSAM) ja lasten kaupittelun havaitsemiseen, ilmoittamiseen, poistamiseen ja estämiseen.

Valvontaviranomaiset muistuttavat pitävänsä näitä rikoksia erityisen vakavina ja hirvittävinä, mutta huomauttavat, että ehdotuksen tunkeileva luonne nykymuodossaan saattaa aiheuttaa enemmän riskejä yksilöille ja laajemmin koko yhteiskunnalle kuin lastensuojelutoimien syytteeseen asettamille rikollisille.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat antaneet lausuntonsa Euroopan komission ehdotuksesta eurooppalaiseksi terveysdata-avaruudeksi (EHDS).

Ehdotuksen tavoitteena on luoda ”Euroopan terveysunioni” ”hyödyntämällä täysimääräisesti terveystietojen turvallisen ja suojatun vaihdon, käytön ja uudelleenkäytön tarjoamia mahdollisuuksia”.

Lausunnossa korostetaan erityisesti sähköisten terveystietojen toissijaiseen käyttöön liittyviä riskejä, jotka voivat tuottaa hyötyä yleishyödylle, mutta eivät ole vaarattomia yksilöiden oikeuksille ja vapauksille.

Euroopan tietosuojaneuvosto julkaisi kantansa Venäjälle tehtäviin siirtoihin 12. heinäkuuta.

Komitea ei kommentoi maan tietosuojan tason kehitystä sodan alkamisen jälkeen, mutta huomauttaa, että tiedonsiirrot on tehtävä vaikutustenarviointi tapauskohtaisesti.

Euroopan unionin tuomioistuin julkaisi 1. elokuuta tärkeän tuomion arkaluonteisten tietojen suojan laajuudesta.

Henkilötietojen ”erityisten ryhmien” käsitettä olisi tulkittava laajasti, erityisesti sen varmistamiseksi, että yleisen tietosuoja-asetuksen 9(1) artiklan tavoite saavutetaan.

Kyseinen Liettuan laki, joka koskee eturistiriitojen ja korruption ehkäisemistä, edellytti virkamiehen liikekumppanin nimen julkaisemista.

Oikeus katsoi, että nämä tiedot voisivat paljastaa tietoja poliisin ja hänen kumppaninsa seksuaalisesta elämästä tai suuntautumisesta.

Norjassa tietosuojaviranomainen on aloittanut yhteistyön ammattiliittojen kanssa työpaikkojen kameravalvonnan seurannassa.

Viranomaisen valituskomitea oli lisäksi yhtä mieltä siitä, että hankkiva yhtiö ottaa vastuun hankintaa edeltävästä rekisterinpitäjästä, ja vahvisti päätöksen määrätä sille noin 12 000 euron sakko laittomasta luottoluokittelusta, joka on GDPR:n 6(1) artiklan vastainen (GDPRhubin kautta)

Ala-Saksin tietosuojaviranomainen on määrännyt Volkswagenille miljoonan euron sakon tietosuojarikkomuksista, jotka liittyivät kameroilla varustetun testiajoneuvon käyttöön. tarkoituksena on parantaa kuljettajan avustusjärjestelmiä ja onnettomuuksien ehkäisyjärjestelmiä.

Testiautoa ajettiin ilman, että kameroiden valvontakentässä näkyisi mitään tietoa.

Tanskan tietosuojaviranomainen (DPA) on antanut terveystietoviranomaiselle nuhteen lääketietokannan testaamatta jättämisestä. palveluarkkitehtuurivirheiden havaitsemiseksi, jotka johtivat 267 henkilöön vaikuttaneeseen tietomurtoon (GDPRhubin kautta).

DPA antoi myös Helsingørin kunnalle nuhteen Google Chromebookien ja "Google Workspace for Education" -palvelun käytöstä alakouluissa.

Se on kieltänyt tämän käsittelyn, kunnes se on saatettu GDPR:n mukaiseksi, ja on keskeyttänyt kaikki siihen liittyvät tiedonsiirrot Yhdysvaltoihin (GDPRhubin kautta).

Alankomaissa opiskelijat ja henkilökunta ohjataan nyt DuckDuckGoon internet-hakuja varten Google-haun sijaan.

Slovenian tietosuojaviranomainen on luokitellut pilvipalveluntarjoajan ja sen asiakkaiden välisen sopimuksen uudelleen: se totesi, ettei kyseessä ollut rekisterinpitäjän ja käsittelijän välinen suhde, vaan pikemminkin jaettu vastuu., koska molemmat osapuolet tekivät päätökset käsittelyn tarkoituksista ja keinoista (GDPRhubin kautta)

Baden-Württembergin julkisten hankintojen kamari toteaa, että henkilötietojen siirtäminen kolmanteen maahan (EU:n ulkopuolelle) on GDPR:n nojalla kiellettyä., vaikka vastaavaa palvelinta operoisi EU:ssa sijaitseva yritys, kunhan se kuuluu amerikkalaiseen konserniin.

Kansainvälinen:

Kansalaisjärjestö Data Rights ja sen kenialainen kumppanijärjestö, Kenian ihmisoikeuskomissio ja Nubian Rights Forum, haastavat johtavan ranskalaisen biometrisen teknologian yrityksen IDEMIAn oikeuteen Pariisin tuomioistuimessa..

Nämä järjestöt syyttävät IDEMIAa siitä, ettei se ole ottanut ihmisoikeuksia huomioon valvontasuunnitelmassaan, joka koskee väestön biometristen tietojen keräämistä Kenian kansallisen digitaalisen tunnistusjärjestelmän kehittämiseksi.

Daily Mail käsittelee 13. heinäkuuta Kiinan tekoälyn käyttöä tuomioistuintensa toiminnan "parantamiseen": Tietokoneet korjaisivat tuomiossa havaitut inhimilliset virheet ja vaatisivat tuomareita toimittamaan koneelle kirjallisen selityksen, jos he ovat eri mieltä tekoälyn korjauksista.

Britannia ja Yhdysvallat alkavat jakaa lainvalvontaviranomaisten tutkintaan liittyviä tietoja lokakuussa osana maiden välistä CLOUD-sopimusta.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.