Analiziranje publike radi bolje komunikacije... koja su pravila?

Pravni nadzor br. 49 – srpanj 2022.

Analiziranje publike radi bolje komunikacije... koja su pravila? Danas mediji i društvene mreže omogućuju tvrtkama da analiziraju svoju publiku kako bi je bolje targetirale, poboljšale svoj imidž i prilagodile svoju marketinšku strategiju.

Stoga je moguće, i sve češće, angažirati tvrtku za "praćenje društvenih medija" koja će pretraživati web, pratiti najrelevantnije razgovore na društvenim mrežama i svojim klijentima pružati izvješća i analize prilagođene njihovim potrebama.

Iako javni, podaci koji se tako analiziraju često su osobni podaci koji ostaju zaštićeni GDPR-om, bilo da se radi o influencerima, novinarima ili drugim osobama aktivnim na društvenim mrežama.

Tko se mora pridržavati ovih obveza?

Prilikom ugovaranja s vanjskim partnerom za procjenu kako se to doživljava na društvenim mrežama, tvrtka klijent smatra se voditeljem obrade podataka za ugovorenu uslugu, a tvrtka za praćenje medija podizvođačem.

Implikacije su značajne, jer uključuju odgovornost za način prikupljanja, obrade i pohrane podataka na društvenim mrežama.

Stoga je preporučljivo provjeriti nekoliko elemenata prilikom sklapanja takvog ugovora kako bi se osiguralo da su prakse tvrtke koja provodi „praćenje medija“ u skladu s GDPR-om:

• Gdje se tvrtka nalazi?

Ako je tvrtka osnovana izvan EU-a, važno je provjeriti primjenjivo pravo, posebno ako se tvrtka ne nalazi u zemlji koja nudi odgovarajuću razinu zaštite.

U tom slučaju morat će koristiti posebna jamstva kako bi osigurala zaštitu podataka, najčešće standardne ugovorne klauzule.

• Pruža li tvrtka ime i kontaktne podatke svog službenika za zaštitu podataka (DPO)?

• Objavljuje li svoju politiku privatnosti o zaštiti podataka na svojoj web stranici ili se ona može staviti na raspolaganje na zahtjev?

Imajte na umu da se ovdje mora napraviti razlika između politike zaštite podataka za web stranicu i politike obrade podataka za usluge praćenja medija.

• Jesu li sljedeći detalji uključeni u ovaj dokument i/ili ugovor?

• Odgovarajuće uloge kao podizvođača ili kontrolora podataka, opseg odgovornosti svake osobe;

• Uvjeti prikupljanja osobnih podataka, izvor podataka, vrste prikupljenih podataka i mjesto pohrane, način na koji se ti podaci agregiraju ili pseudonimiziraju gdje je to primjenjivo;

• Pravna osnova;

• Razdoblje čuvanja podataka;

• Mjere sigurnosti i povjerljivosti;

• Prijenos podataka izvan EU;

• Informacije za zainteresirane osobe i načini ostvarivanja njihovih prava.

Najbolje je vjerovati tvrtkama koje pružaju najveću razinu detalja u vezi s tim različitim elementima.

To ne oslobađa klijentsku tvrtku od poduzimanja dodatnih mjera kao voditelj obrade podataka.

Što se tiče informiranja dotičnih osoba, može se smatrati da izravno informiranje uključuje nerazmjerne napore.

Međutim, politici zaštite podataka web-mjesta može se dodati informativna obavijest kojom se opća javnost informira o provedenim analizama publike, navodeći različite odgovornosti i prava te se za više detalja upućuje na web-mjesto vanjskog partnera.

I također

Francuska:

CNIL je objavio svoj stav o proširenim kamerama 19. srpnja i poziva na sveukupno promišljanje o pravilnoj upotrebi tih alata u javnim prostorima.

Komisija ukazuje na rizik široko rasprostranjenog nadzora i analize koji bi, kao odgovor, mogli promijeniti ponašanje ljudi koji hodaju ulicom ili odlaze u trgovine.

Ističe da francuski zakon ne dopušta javnim vlastima korištenje proširenih kamera za otkrivanje i kazneni progon te smatra da je potrebno postaviti crvene linije da se te kamere nikada ne koriste u svrhu "ocjenjivanja" ljudi.

Dana 26. srpnja, CNIL je objavio preporuke u vezi s kontrolom dobi na web stranicama: Poziva na razvoj učinkovitijih rješenja koja štite privatnost, s osvrtom na korištenje bankovnih kartica i prepoznavanje lica.

Također podržava razvoj uloge pouzdanih trećih strana.

CNIL je također 21. srpnja izrekao kaznu od 175.000 eura tvrtki Ubeeqo International. tvrtka za iznajmljivanje automobila, posebno zbog toga što je uzrokovala nesrazmjerno narušavanje privatnosti svojih klijenata gotovo trajnim geolociranjem.

Europa:

Dvije europske uredbe o digitalnim tržištima i digitalnim uslugama (DMA i DSA) usvojio je Europski parlament 5. srpnja vrlo velikom većinom.

DMA je također konačno odobren od strane Vijeća u srpnju, dok se očekuje da će DSA biti odobren u studenom.

Komisija već razmatra stvaranje specijaliziranog odjela kako bi se osiguralo da digitalni divovi ispunjavaju uvjete iz DMA-a.

Europski odbor za zaštitu podataka (EDPB) odgovorio je na TikTokovo prikupljanje osobnih podataka u pismu od 28. srpnja upućenom nekolicini nevladinih organizacija.

Ističe se brza akcija koju su poduzela irska, talijanska i španjolska nadzorna tijela nakon što je TikTok objavio da više neće tražiti privolu korisnika za slanje personaliziranih oglasa (pravna osnova postaje legitimni interes TikToka i njegovih partnera).

Nakon ovih radnji, TikTok je objavio da obustavlja ovu promjenu pravne osnove.

Odbor je također zauzeo stav s Europskim nadzornikom za zaštitu podataka (EDPS) o predloženoj uredbi za sprječavanje i borbu protiv seksualnog zlostavljanja djece.

Prijedlog ima za cilj nametnuti obveze raznim web uslugama vezane uz otkrivanje, prijavljivanje, uklanjanje i blokiranje online materijala o seksualnom zlostavljanju djece (CSAM) i nuđenja djece.

Podsjećajući da ove zločine smatraju posebno ozbiljnima i gnusnima, nadzorna tijela napominju da intruzivna priroda prijedloga, u njegovom sadašnjem obliku, može predstavljati veći rizik za pojedince, a time i za društvo u cjelini, nego za kriminalce koje progoni CSAM.

EDPB i EDPS izdali su mišljenje o prijedlogu Europske komisije za Europski prostor zdravstvenih podataka (EHDS).

Prijedlog ima za cilj stvaranje "Europske zdravstvene unije" "potpunim iskorištavanjem potencijala koji nudi sigurna razmjena, korištenje i ponovna upotreba zdravstvenih podataka".

U mišljenju se posebno ističu rizici povezani sa sekundarnom upotrebom elektroničkih zdravstvenih podataka, koja može donijeti koristi za javno dobro, ali nije bez rizika za prava i slobode pojedinaca.

EDPB je 12. srpnja objavio svoj stav o transferima Rusiji.

Odbor ne komentira razvoj razine zaštite podataka u ovoj zemlji od početka rata, ali ističe da prijenosi moraju biti podložni analizi učinka od slučaja do slučaja.

Sud Europske unije objavio je 1. kolovoza važnu presudu koja se odnosi na opseg zaštite osjetljivih podataka.

Pojam „posebnih kategorija“ osobnih podataka treba tumačiti široko, posebno kako bi se osiguralo postizanje cilja iz članka 9(1) GDPR-a.

Predmetni litavski zakon, koji se odnosi na sprječavanje sukoba interesa i korupcije, zahtijevao je objavu imena partnera javnog dužnosnika.

Sud je utvrdio da bi te informacije mogle otkriti podatke o seksualnom životu ili orijentaciji policajca i njegove partnerice.

U Norveškoj je tijelo za zaštitu podataka započelo suradnju sa sindikatima u praćenju nadzora kamerama na radnom mjestu.

Odbor za žalbe Tijela nadalje se složio da tvrtka koja preuzima preuzima odgovornost za voditelja obrade podataka prije akvizicije, i potvrdila odluku o izricanju kazne od otprilike 12.000 eura zbog nezakonitog bodovanja kredita, čime je prekršen članak 6(1) GDPR-a (putem GDPRhuba)

Agencija za zaštitu podataka Donje Saske kaznila je Volkswagen s milijun eura zbog kršenja zaštite podataka pri korištenju testnog vozila s kamerama. namijenjen poboljšanju sustava pomoći vozačima i sprječavanja nesreća.

Testni automobil je vožen bez ikakvih vidljivih informacija u polju nadzora kamera.

Danska agencija za zaštitu podataka (DPA) ukorila je Agenciju za zdravstvene podatke jer nije testirala svoju bazu podataka o lijekovima. kako bi se otkrile pogreške u arhitekturi usluge, što je dovelo do kršenja podataka koje je utjecalo na 267 pojedinaca (putem GDPRhuba).

DPA je također ukorila općinu Helsingør zbog korištenja Google Chromebookova i "Google Workspacea za obrazovanje" u osnovnim školama.

Zabranila je ovu obradu dok se ne uskladi s GDPR-om i obustavila je sve povezane prijenose podataka u Sjedinjene Američke Države (putem GDPRhuba).

U vezi s tim, u Nizozemskoj se studenti i osoblje sada usmjeravaju na DuckDuckGo za svoje internetske pretrage umjesto na Google pretraživanje.

Slovenska agencija za zaštitu podataka reklasificirala je ugovor između pružatelja usluga u oblaku i njegovih korisnika: utvrdila je da ne postoji odnos voditelja obrade/obrađivača, već podijeljene odgovornosti., budući da su obje strane donijele odluke o svrhama i sredstvima obrade (putem GDPRhuba)

Komora za javnu nabavu Baden-Württemberga napominje da je prijenos osobnih podataka u treću zemlju (izvan EU) nedopustiv prema GDPR-u., čak i ako odgovarajućim poslužiteljem upravlja tvrtka sa sjedištem u EU, sve dok je dio američke grupe.

Međunarodno:

Nevladina organizacija Data Rights i njezine kenijske partnerske organizacije, Kenijska komisija za ljudska prava i Nubijski forum za prava, tuže IDEMIA-u, vodeću francusku tvrtku za biometrijsku tehnologiju, na pariškom sudu..

Te organizacije optužuju IDEMIA-u da nije uzela u obzir ljudska prava u svom planu nadzora u vezi s prikupljanjem biometrijskih podataka od stanovništva za razvoj nacionalnog sustava digitalne identifikacije u Keniji.

Daily Mail od 13. srpnja raspravlja o korištenju umjetne inteligencije u Kini za "poboljšanje" funkcioniranja sudova: Računala bi ispravljala uočene ljudske pogreške u presudi, zahtijevajući od sudaca da dostave pismeno objašnjenje stroju ako se ne slažu s ispravcima umjetne inteligencije.

Velika Britanija i Sjedinjene Države počet će u listopadu dijeliti podatke povezane s istragama provedbe zakona, kao dio CLOUD sporazuma između dviju zemalja.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.