Legal Watch nro 72 – kesäkuu 2024.  

Viestintä ja markkinointi sosiaalisessa mediassa: mitkä ovat ammattilaisten säännöt?

Sosiaaliset verkostot muodostavat datajoukon, jota voidaan käyttää potentiaalisten asiakkaiden tavoittamiseen.

Näiden tietojen käyttö, olipa se sitten julkisesti saatavilla sosiaalisessa mediassa tai kontaktiverkoston luomisen kautta, on edelleen lain alaista.

Sen on oltava GDPR:n ja sähköisen viestinnän tietosuojadirektiivin (ePrivacy Directive) periaatteiden mukainen.

Säännöt ovat erilaiset esimerkiksi silloin, jos otat yhteyttä yritykseen ("B2B") tai luonnolliseen henkilöön ("B2C").

Ihmisten odotukset vaihtelevat myös sen mukaan, onko heillä ennestään olemassa olevaa suhdetta: kiinnitä erityistä huomiota tiedon keräämiseen ihmisistä, jotka eivät kuulu kontaktiverkostoosi (esimerkiksi keräämällä potentiaalisten asiakkaiden nimiä keskusteluryhmistä).

On tärkeää pitää mielessä kolme keskeistä periaatetta: avoimuus, asianomaisten oikeuksien kunnioittaminen ja reagointikyky heidän pyyntöihinsä.

• Anna tietoja kerätyistä tiedoista.

On suositeltavaa:

• Ennakoidakseen verkkoviestintäoperaation, kuten sähköpostikampanjan, vaikutuksia lisäämällä viestin loppuun huomautuksen, jossa selitetään erityisesti tietojen alkuperä ja viestinnän tarkoitus.
• Tarjota artikkeli tai toimiva linkki, joka johtaa tietosivulle rekisterinpitäjästä ja yksilöiden oikeuksista.
• Tarjota yksinkertainen yhteydenottotapa (oma sähköpostiosoite, yhteydenottolomake tai yksityisviesti sosiaalisessa mediassa), jonka kautta voi pyytää pääsyä tietoihin, niiden oikaisemista tai poistamista.
• Kunnioita yksilöiden oikeuksia ja hanki heidän suostumuksensa tarvittaessa.

Jotkut etsintätekniikat voivat olla tunkeilevampia kuin toiset.

Esimerkiksi LinkedInissä InMail mahdollistaa (maksua vastaan) viestien lähettämisen suoraan minkä tahansa käyttäjän postilaatikkoon, joka ei ole yhteystietoverkostosi jäsen.

Jotkin markkinointiohjelmistot mahdollistavat myös yhteystietojen (mukaan lukien profiilit ja valokuvat) tuonnin sosiaalisista verkostoista, kuten LinkedIn, Facebook, Twitter, Viadeo, YouTube tai Klout, jatkokäsittelyä varten.

Näiden asiakashankintatekniikoiden on oltava sähköpostimarkkinoinnin sääntöjen mukaisia, kuten GDPR:ssä ja sähköisen viestinnän tietosuojadirektiivissä säädetään.

Seuraavat periaatteet palautetaan siis mieleen:

• Suostumuksen noudattaminen tai mainoksen vastaanottajan ennakkosuostumuksen hankkiminen: tämä koskee B2C-mainosten lähettämistä sähköpostitse, tekstiviestillä, multimediaviestillä, automatisoiduilla puheluilla tai faksilla.
• Kieltäytymisoikeuden kunnioittaminen, joka sallii tarjousten lähettämisen, vaikka mainoksen vastaanottaja ei olisi vastustanut sitä: tämä koskee sähköpostitse lähetettyä B2B-mainontaa ja postitse tai puhelimitse lähetettyä B2C-mainontaa.
• Järjestä asianosaisten henkilöiden pyyntöjen hallinta.

Tämä edellyttää seuraavien suunnittelua:

• Tyypillinen vastaus internetin käyttäjille, jotka esimerkiksi käyttävät oikeuttaan vastustaa tietojensa käsittelyä ja/tai pyytää pääsyä tietoihinsa.
• Sisäinen menettely näiden pyyntöjen käsittelemiseksi mahdollisimman nopeasti. GDPR:n mukainen vakioaika on yksi kuukausi.

Vastauksen reagointikyky ja tehokkuus ovat tärkeitä, koska ne edistävät rekisterinpitäjän mainetta verkossa.

 

Ranskan tietosuojaviranomainen CNIL on ilmoittanut suorittavansa tarkastuksia olympia- ja paralympiakisoihin liittyen. katsojien yksityisyyden kunnioittamisen takaamiseksi.

Se keskittyy erityisesti "laajennettuihin" kameralaitteisiin, rajoitettujen alueiden QR-koodeihin, lipunmyyntipalveluihin ja vapaaehtoisten dataan.

CNIL kirjasi 167 ilmoitusta GDPR-rikkomuksista eurovaalien jälkeen.

Se muistuttaa poliittisia puolueita ennenaikaisten parlamenttivaalien yhteydessä noudatettavista säännöistä ja ilmoittaa niille suorittavansa tarkastuksia vaalien yhteydessä vastaanotettujen raporttien määrän ja luonteen perusteella.

Käytännön oppaiden julkaisemisen jälkeen viime huhtikuussa CNIL julkaisi 10. kesäkuuta toisen tietoiskujen sarjan ja kyselylomakkeen, jotka on omistettu tekoälyjärjestelmien (AI) kehittämisen sääntelylle.

 Näiden uusien työkalujen tarkoituksena on auttaa ammattilaisia sovittamaan yhteen innovaatiot ja ihmisten oikeuksien kunnioittamisen, ja ne keskittyvät erityisesti oikeutetun edun, läpinäkyvyyden, ihmisten oikeuksien, datan annotoinnin ja tekoälyjärjestelmän kehittämisen turvallisuuden oikeusperustaan.

Tietosivut ovat avoinna julkista kuulemista varten 1. syyskuuta 2024 asti.

Lopuksi CNIL tarkastelee 4. heinäkuuta julkaistussa tutkimuksessa vaihtoehtojen kehittäminen seurantatekniikoille kolmannen osapuolen evästeiden avulla ja niiden seurauksista (ks. myös alla Googlen "yksityisyyden hiekkalaatikon" esiin nostamat kysymykset).

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio ilmoitti Metalle 1. heinäkuuta alustavista havainnoistaan, joiden mukaan sen "maksa tai suostumus" -mainontamalli ei ole digitaalisten markkinoiden lain mukainen. (DMA, artiklan 5 kohta 2).

Nämä havainnot vahvistavat Euroopan tietosuojaneuvoston (EDPB) viime huhtikuussa julkaisemat havainnot.

Komission mukaan tämä binäärinen valinta pakottaa käyttäjät suostumaan henkilötietojensa yhdistämiseen eikä tarjoa heille vähemmän personoitua mutta vastaavaa versiota Metan sosiaalisista verkostoista.

Nämä alustavat havainnot eivät ennakoi tutkinnan lopputulosta.

Metalla on nyt mahdollisuus käyttää oikeuttaan puolustukseen ja vastata kirjallisesti.

Komissio päättää tutkimuksensa 12 kuukauden kuluessa menettelyn aloittamisesta, 25. maaliskuuta 2024.

Jos komission alustavat havainnot lopulta vahvistetaan, komissio voi määrätä Metalle sakkoja, jotka ovat jopa 10 % maailmanlaajuisesta kokonaisliikevaihdosta ja 20 % toistuvista rikkomisista.

Euroopan komissio on julkaissut tietohallintoasetuksen (DGA) nojalla luettelon ensimmäisistä jäsenvaltioiden sille ilmoittamista "tiedonvälittäjistä".

Tiedonvälittäjät toimivat puolueettomina kolmansina osapuolina, jotka yhdistävät yksilöitä ja yrityksiä tiedon käyttäjiin.

Rekisteröitiin viisi yritystä, joista kolme sijaitsee Ranskassa: AGDATAHUB, Hub One DataTrust ja M-ITRUST. Kaksi muuta saivat ilmoituksen Suomi ja Unkari (AFCDP:n kautta).

Euroopan tietosuojaneuvosto käynnisti "tekoälyauditointi"-projektin 27. kesäkuuta Tämän tarkoituksena on auttaa tietosuojaviranomaisia (DPA) tekoälyjärjestelmien tarkastamisessa määrittelemällä tarkistuslistan muodossa olevan menetelmän algoritmin tarkastamiseksi ja ehdottamalla työkaluja, jotka parantaisivat niiden läpinäkyvyyttä.

Euroopan tietosuojavaltuutettu (EDPS) julkaisi 3. kesäkuuta ohjeensa "generatiivisesta tekoälystä ja henkilötietojen suojasta". jotta EU:n toimielimille, elimille, toimistoille ja virastoille voitaisiin antaa käytännön neuvoja ja ohjeita henkilötietojen käsittelystä generatiivisia tekoälyjärjestelmiä käytettäessä ja jotta niitä voitaisiin helpottaa tietosuojaa koskevan oikeudellisen kehyksen vaatimusten noudattamisessa.

Kansainvälinen teknologian tietosuojaa käsittelevä työryhmä (IWGDPT) hyväksyi kasvojentunnistusteknologiaa koskevan työasiakirjan 5. kesäkuuta.

Dokumentti kuvaa käyttömahdollisuuksia yksityisellä ja julkisella sektorilla ja esittelee sekä riskit että käytännön suosituksia tietosuojan mukaiselle sovellukselle.

Euroopan unionin tuomioistuin (CJEU) päätti 20. kesäkuuta asiassa C-590/22, että Rekisteröidyn pelko siitä, että hänen henkilötietojaan on luovutettu kolmansille osapuolille, riittää oikeuttamaan korvauksen, jos tämä pelko kielteisine seurauksineen todistetaan asianmukaisesti.

Tämän korvauksen perustelemiseksi ei ole välttämätöntä osoittaa, että näitä tietoja on tosiasiallisesti välitetty kolmansille osapuolille (GDPR-uutisten mukaan).

Tuomioistuin katsoi myös 20. kesäkuuta yhdistetyissä asioissa C-182/22 ja C-189/22 – Scalable Capital, että Henkilötietojen tietoturvaloukkauksesta aiheutunut henkinen vahinko ei luonteensa vuoksi ole vähäisempi kuin fyysinen vahinko..

Lisäksi, jotta tapahtuma voidaan luokitella identiteettivarkaudeksi, kolmannen osapuolen on täytynyt tosiasiallisesti käyttää henkilötietoja väärin.

Euroopan ihmisoikeustuomioistuin totesi 6. kesäkuuta antamassaan tuomiossa (Bersheda ja Rybolovlev v. Monaco), että tutkintatuomarin asianajajan matkapuhelimella suorittamat tutkimukset ja henkilötietojen – mukaan lukien hakijan aiemmin poistamien tietojen – massiivinen ja mielivaltainen hakeminen ylitti tämän tuomarin toimivallan, eikä siihen liittynyt suojatoimia, joilla olisi varmistettu hakijan asianajajan aseman ja ammattisalaisuuden kunnioittaminen.

Kansalaisyhteiskunnan ja digitaalisten palveluiden säädöksen (DSA) täytäntöönpanosta vastaavan eurooppalaisen elimen painostuksen alla LinkedIn on poistanut alustaltaan käyttäjien arkaluonteisiin henkilötietoihin perustuvan mainosten kohdentamisen..

Tämän tyyppistä kohdentamista pidettiin DSA:n vastaisena.

Yritys Meta vahvisti kesäkuun puolivälissä keskeyttävänsä suunnitelmansa kouluttaa tekoälyjärjestelmiään käyttäjädatan avulla EU:ssa ja Isossa-Britanniassa.

Projekti kohdisti käyttäjädatan Facebookista, Instagramista ja Threadsista.

Tämä päätös on seurausta Irlannin tietosuojavaltuuston toimista, joka toimii useiden EU:n tietosuojaviranomaisten ja erityisesti Hampurin viranomaisen puolesta.

 

Uutisia Euroopan jäsenmaista.

Belgian APD määräsi 3. kesäkuuta 172 000 euron sakon yritykselle, joka ei ollut noudattanut pyyntöä tietojen poistamisesta ja jatkoi suoramarkkinointiviestien lähettämistä.

Tietosuojaviranomainen ei ottanut huomioon rekisterinpitäjän argumentteja, joilla hän pyrki siirtämään syyllisyyden tietosuojavastaavalle: rekisterinpitäjän vastuulla on vastata tiedonsaantipyyntöihin ja varmistaa, että tietosuojavastaavalla on riittävät resurssit.

KreikassaAPD määräsi sisäministeriölle 400 000 ja 40 000 euron sakot jaetusta poliittisesta viestinnästä pyytämättä. Sisäministeriö oli toimittanut europarlamentaarikolle kyseisten henkilöiden sähköpostiosoitteet.

Luxemburgissa APD katsoi, että videovalvonnan käyttö työntekijän irtisanomisen perustelemiseksi loukkasi GDPR:n käyttötarkoituksen rajoittamisen periaatetta, jos se oli alun perin asennettu työntekijöiden turvallisuuden varmistamiseksi.

Alankomaissa Oikeus on kieltänyt Microsoftia, LinkedIniä ja Xandria sijoittamasta seurantaevästeitä kolmansien osapuolten verkkosivustoille ilman käyttäjän suostumusta ja määrännyt 1 000 euron sakon yritystä kohden jokaiselta päivältä, jona päätöstä ei noudateta.

Oikeus katsoi, että nämä alustat olivat edelleen vastuussa pätevän suostumuksen keräämisestä, vaikka ne antaisivat tämän keräämisen kolmansien osapuolten verkkosivustoille, jotka integroivat seurantateknologiansa.

TanskassaAPD nuhteli Kööpenhaminan kaupunkia siitä, ettei se ollut estänyt 37 500 luvattoman työntekijän mahdollista pääsyä 3,7 miljoonan ihmisen henkilötietoihin.

Latvian APD määräsi huvipuistossa valokuvauspalveluita tarjoavalle yritykselle 1 000 euron sakon.

Yritys otti valokuvia vierailijoista implisiittisen suostumuksen perusteella, mitä ei voitu pitää positiivisena toimintana.

ItaliassaAPD on määrännyt yritykselle 100 000 euron sakon puhelinnumeroiden laittomasta käsittelystä telemarkkinointitarkoituksiin.

APD katsoi, että rekisterinpitäjä ei voi siirtää GDPR:n mukaista vastuutaan ja velvoitteitaan alihankkijalle sopimuslausekkeen avulla.

Ruotsin virallinen kehitysapu Avanza Bank AB:lle määrättiin 1 318 955,55 euron (15 miljoonan Ruotsin kruunun) sakko GDPR:n artiklan 5(1)(f) ja 32 rikkomisesta. Kahden Meta Pixel -toiminnon vahingossa tapahtuva aktivointi johti henkilötietojen luvattomaan siirtoon Meta Pixelille.

Puolassa kehitysapu sakotti yritystä 54 600 eurolla sen jälkeen, kun salaamattomia työntekijätietoja sisältävän USB-muistitikun katoaminen johti tietomurtoon.

13. kesäkuuta Kansalaisjärjestö NOYB on tehnyt valituksen Itävallan tietosuojaviranomaiselle (APD) Googlen käytännöistä, jotka koskevat henkilötietojen keräämistä sen "privacy sandbox" -ympäristössä.

Kansalaisjärjestö huomauttaa, että siitä lähtien, kun Google ilmoitti syyskuussa 2023 poistavansa asteittain kolmannen osapuolen evästeet Chrome-selaimestaan, käyttäjiä on asteittain kannustettu aktivoimaan niin kutsuttu "mainosten yksityisyysominaisuus", joka todellisuudessa antaisi Googlelle mahdollisuuden seurata heitä.

NOYB teki 4. kesäkuuta myös Itävallassa valituksen Microsoftia vastaan, jonka "365 Education" -palvelut väitetään loukkaavan lasten tietosuojaoikeuksia.

Kansalaisjärjestön mukaan Microsoft ilmoitti oppilaiden halutessa käyttää GDPR:n mukaisia oikeuksiaan koulujen olevan "vastuussa" heidän tiedoistaan, vaikka kouluilla ei ole määräysvaltaa Microsoftin järjestelmiin.

Eu Travel Tech -järjestö teki toukokuun lopussa valituksen Ranskan ja Belgian tietosuojaviranomaisille Ryanairista, joka on äskettäin ottanut käyttöön vaatimuksen käsitellä asiakkaiden biometrisiä tietoja varausten hallintaan ja online-lähtöselvitystoimintoihin pääsyä varten.

Yhdistys katsoo, että tämä biometrinen varmennusprosessi rikkoo GDPR:n laillisuuden, oikeudenmukaisuuden ja läpinäkyvyyden periaatteita (AFCDP:n kautta).

 

OECD julkaisi 26. kesäkuuta raportti tekoälystä, tiedonhallinnasta ja yksityisyyden suojasta.

Tässä raportissa tarkastellaan kansallisia ja alueellisia aloitteita ja ehdotetaan mahdollisia yhteistyöalueita.

Kannattamalla parempaa kansainvälistä yhteistyötä raportin tavoitteena on ohjata yksityisyyttä kunnioittavien ja tukevien tekoälyjärjestelmien kehittämistä.

OECD julkaisi myös 19. kesäkuuta työasiakirja nimeltä "Kohti lasten digitaalista turvallisuutta sisäänrakennettuna".

Asiakirja keskittyy digitaalisten palveluntarjoajien toimiin ja ehdottaa kahdeksan keskeistä toimenpidettä, mukaan lukien käytännön työkaluja, turvallisuuskulttuurin edistämiseen tähtääviä toimenpiteitä ja vahinkojen lieventämisstrategioita.

Näitä elementtejä havainnollistetaan tapaustutkimuksilla, jotka korostavat tarvetta omaksua kontekstiin mukautettuja lähestymistapoja.

Kalifornian yksityisyyden suojan virasto (CPPA) ja CNIL ovat allekirjoittaneet yhteistyösopimuksen., 25. kesäkuuta 2024 Pariisissa.

CNIL ilmoittaa, että viranomaiset aikovat yhdistää voimansa vahvistaakseen Ranskan ja Kalifornian kansalaisten henkilötietojen suojaa.

Nvidian (yksi johtavista tekoälylaskennan puolijohteiden toimittajista), Microsoftin ja OpenAI:n kerrotaan olevan kiistan kohteena. kilpailuoikeudellinen tutkinta Yhdysvalloissa.

Politicon raportin mukaan oikeusministeriö (DOJ) ja liittovaltion kauppakomissio (FTC) tekevät yhteistyötä tässä asiassa. Oikeusministeriö keskittyy Nvidiaan, ja FTC tutkii Microsoftin ja OpenAI:n välistä kumppanuutta selvittääkseen, onko niillä epäreilua etua.

Japani hyväksyi 12. kesäkuuta lain, joka on samanlainen kuin Euroopan digitaalisten markkinoiden asetus (DMA).

Tekstiin sisältyisi "velvoitteita yhteentoimivuuden, läpinäkyvyyden ja tietojen siirrettävyyden varmistamiseksi".

Laki tulee voimaan joulukuun 2025 lopussa.

Amerikkalainen yritys Dropbox ilmoitti toukokuun alussa joutuneensa kyberhyökkäyksen kohteeksi..

Haitallinen tunkeutuminen koskee sen turvallista sähköistä asiakirjojen allekirjoitusalustaa, Dropbox Signia, aiemmin HelloSignia.

Varastettuihin tietoihin kuuluvat nimet, sähköpostiosoitteet, salatut salasanat, maksutiedot ja todennustiedot.

Yritys väittää nollanneensa kaikkien käyttäjien salasanat ja katkaisseensa kaikki istunnot (AFCDP:n kautta).