Pravni nadzor br. 72 – lipanj 2024.  

Komunikacija i marketing na društvenim mrežama: koja su pravila za profesionalce?

Društvene mreže predstavljaju skup podataka koji se mogu koristiti za ciljanje potencijalnih klijenata.

Korištenje ovih podataka, bilo da su javno dostupni na društvenoj mreži ili stvaranjem mreže kontakata, ostaje podložno zakonu.

Mora biti u skladu s načelima GDPR-a i Europske direktive o elektroničkim komunikacijama (direktiva o e-privatnosti).

Pravila su drugačija, na primjer ako kontaktirate tvrtku („B2B“) ili fizičku osobu („B2C“).

Očekivanja ljudi također će varirati ovisno o tome postoji li već postojeći odnos ili ne: obratite posebnu pozornost na prikupljanje informacija o ljudima koji nisu dio vaše mreže kontakata (na primjer, prikupljanje imena potencijalnih klijenata u grupama za raspravu).

Važno je imati na umu tri bitna načela: transparentnost, poštivanje prava dotičnih osoba i reagiranje na njihove zahtjeve.

• Navedite informacije o prikupljenim podacima.

Preporučuje se:

• Predvidjeti učinke online komunikacijske operacije, poput kampanje putem e-pošte, dodavanjem napomene na kraju poruke u kojoj se posebno objašnjava podrijetlo podataka i svrha komunikacije.
• Pružiti članak ili funkcionalnu poveznicu koja vodi do informativne stranice o voditelju obrade podataka i pravima pojedinaca.
• Ponuditi jednostavan način kontakta (namjenska e-pošta, kontaktni obrazac ili privatna poruka na društvenim mrežama) kako bi se omogućili zahtjevi za pristup, ispravak ili brisanje podataka.
• Poštujte prava pojedinaca i pribavite njihov pristanak gdje je to primjereno.

Neke tehnike istraživanja mogu biti nametljivije od drugih.

Na LinkedInu, na primjer, InMail omogućuje (uz naknadu) slanje poruka izravno u pristiglu poštu bilo kojeg korisnika koji nije član vaše mreže kontakata.

Neki marketinški softver također omogućuje uvoz kontakata (uključujući profile i fotografije) s društvenih mreža poput LinkedIna, Facebooka, Twittera, Viadea, YouTubea ili Klouta za daljnju obradu.

Ove tehnike istraživanja potencijalnih klijenata moraju biti u skladu s pravilima e-mail marketinga, kako je predviđeno GDPR-om i Direktivom o e-privatnosti.

Stoga se podsjeća na sljedeća načela:

• Poštovanje privole ili dobivanje prethodne suglasnosti primatelja oglasa: to je slučaj kod slanja "B2C" oglasa putem e-pošte, SMS-a, MMS-a, automatiziranog poziva ili faksa.
• Poštovanje prava na isključivanje, koje omogućuje slanje zahtjeva za primanje kada primatelj oglasa nije prigovorio na to: to je slučaj za "B2B" oglašavanje poslano e-poštom i "B2C" oglašavanje poslano poštom ili telefonom.
• Organizirati upravljanje zahtjevima dotičnih osoba.

To uključuje planiranje za:

• Tipičan odgovor korisnicima interneta koji, na primjer, koriste svoje pravo na prigovor i/ili traže pristup svojim podacima.
• Interni postupak za što bržu obradu ovih zahtjeva, pri čemu je standardni rok predviđen GDPR-om jedan mjesec.

Brzina odziva i učinkovitost odgovora važne su jer doprinose ugledu voditelja obrade podataka na mreži.

 

Francusko tijelo za zaštitu podataka (CNIL) objavilo je da će provoditi provjere u vezi s Olimpijskim i Paraolimpijskim igrama. kako bi se zajamčilo poštivanje privatnosti gledatelja.

Posebno će se usredotočiti na "proširene" kamere, QR kodove za ograničena područja, usluge prodaje ulaznica i podatke o volonterima.

CNIL je zabilježio 167 prijava kršenja GDPR-a nakon europskih izbora.

Podsjeća političke stranke, u kontekstu prijevremenih parlamentarnih izbora, na pravila koja se moraju poštovati i obavještava ih da će provoditi provjere na temelju broja i prirode izvješća koja će biti primljena u kontekstu izbora.

Nakon objave praktičnih vodiča prošlog travnja, Dana 10. lipnja, CNIL je objavio drugu seriju informativnih listova i upitnik posvećen regulaciji razvoja sustava umjetne inteligencije (AI).

 Ovi novi alati imaju za cilj pomoći stručnjacima da usklade inovacije s poštovanjem ljudskih prava, a posebno se usredotočuju na pravnu osnovu legitimnog interesa, transparentnost, ljudska prava, označavanje podataka i sigurnost razvoja sustava umjetne inteligencije.

Informativni listovi otvoreni su za javnu raspravu do 1. rujna 2024.

Konačno, CNIL ispituje u studiji objavljenoj 4. srpnja razvoj alternativa tehnikama praćenja putem kolačića trećih strana i o njihovim posljedicama (vidi također, u nastavku, pitanja koja postavlja Googleov "pješčanik privatnosti").

 

Europske institucije i tijela

Europska komisija je 1. srpnja obavijestila Metu o svojim preliminarnim nalazima da njezin model oglašavanja "plaćanje ili pristanak" nije u skladu sa Zakonom o digitalnim tržištima. (DMA, članak 5. stavak 2.).

Ovi nalazi potvrđuju one koje je Europski odbor za zaštitu podataka (EDPB) objavio prošlog travnja.

Prema Komisiji, ovaj binarni izbor prisiljava korisnike da pristanu na kombiniranje svojih osobnih podataka i ne pruža im manje personaliziranu, ali ekvivalentnu verziju Meta društvenih mreža.

Ovi preliminarni nalazi ne prejudiciraju ishod istrage.

Meta sada ima priliku iskoristiti svoje pravo na obranu i odgovoriti pismeno.

Komisija će zaključiti svoju istragu u roku od 12 mjeseci od otvaranja postupka, 25. ožujka 2024.

Ako se preliminarni nalazi Komisije u konačnici potvrde, Komisija bi mogla izreći kazne do 10 tona ukupnog svjetskog prometa Mete i 20 tona u slučaju ponovljenih kršenja.

U skladu s Uredbom o upravljanju podacima (DGA), Europska komisija objavila je popis prvih „posrednika podataka“ koje su joj prijavile države članice.

Posrednici podataka funkcioniraju kao neutralne treće strane koje povezuju pojedince i tvrtke s korisnicima podataka.

Registrirano je pet tvrtki, od kojih se tri nalaze u Francuskoj: AGDATAHUB, Hub One DataTrust i M-ITRUST. Ostale dvije prijavile su Finska i Mađarska (putem AFCDP-a).

EDPB je 27. lipnja pokrenuo projekt "AI Auditing" : cilj je pomoći tijelima za zaštitu podataka (DPA) u inspekciji sustava umjetne inteligencije definiranjem metodologije u obliku kontrolne liste za reviziju algoritma i predlaganjem alata koji bi poboljšali njihovu transparentnost.

Europski nadzornik za zaštitu podataka (EDPS) objavio je 3. lipnja svoje smjernice o "generativnoj umjetnoj inteligenciji i zaštiti osobnih podataka". kako bi se institucijama, tijelima, uredima i agencijama EU-a pružili praktični savjeti i upute o obradi osobnih podataka pri korištenju generativnih sustava umjetne inteligencije te kako bi se olakšalo njihovo usklađivanje sa zahtjevima pravnog okvira za zaštitu podataka.

Međunarodna radna skupina za zaštitu podataka u tehnologiji (IWGDPT) usvojila je 5. lipnja radni dokument o tehnologiji prepoznavanja lica.

Dokument opisuje mogućnosti korištenja u privatnom i javnom sektoru te predstavlja rizike i praktične preporuke za primjenu usklađenu sa zaštitom podataka.

Dana 20. lipnja, Sud Europske unije (CJEU) presudio je u predmetu C-590/22 da Strah ispitanika da su njegovi osobni podaci otkriveni trećim stranama dovoljan je za ostvarivanje prava na odštetu, ako se taj strah, sa svojim negativnim posljedicama, propisno dokaže.

Nije potrebno utvrditi da su ti podaci doista priopćeni trećim stranama kako bi se opravdala ova naknada (putem novosti o GDPR-u).

Sud je također 20. lipnja, u spojenim predmetima C 182/22 i C 189/22 – Scalable Capital, razmotrio da Moralna šteta uzrokovana povredom osobnih podataka nije, po svojoj prirodi, manje važna od fizičke štete..

Nadalje, da bi se događaj klasificirao kao krađa identiteta, osobne podatke mora stvarno zloupotrijebiti treća strana.

U presudi od 6. lipnja (Bersheda i Rybolovlev protiv Monaka), Europski sud za ljudska prava presudio je da je istrage koje je istražni sudac proveo na mobitelu odvjetnika i masovno i neselektivno preuzimanje osobnih podataka – uključujući podatke koje je podnositelj zahtjeva prethodno izbrisao – prelazilo je nadležnost ovog suca i nije bilo popraćeno zaštitnim mjerama kojima bi se osiguralo poštivanje statusa i profesionalne tajne podnositelja zahtjeva kao odvjetnika.

Pod pritiskom civilnog društva i europskog tijela odgovornog za provedbu Zakona o digitalnim uslugama (DSA), LinkedIn je sa svoje platforme uklonio ciljano oglašavanje temeljeno na osjetljivim osobnim podacima korisnika..

Smatralo se da ova vrsta ciljanja krši DSA.

Tvrtka Meta je sredinom lipnja potvrdila da pauzira svoje planove za obuku svojih AI sustava korištenjem korisničkih podataka u EU i Ujedinjenom Kraljevstvu.

Projekt je ciljao korisničke podatke s Facebooka, Instagrama i Threadsa.

Ova odluka slijedi nakon akcije Irske komisije za zaštitu podataka, koja djeluje u ime nekoliko tijela za zaštitu podataka diljem EU-a, a posebno tijela iz Hamburga.

 

Vijesti iz zemalja članica Europe.

Belgijski APD izrekla je 3. lipnja kaznu od 172.000 eura tvrtki koja nije udovoljila zahtjevu za brisanje podataka i nastavila slati e-poruke izravnog marketinga.

Argumenti kontrolora podataka usmjereni na prebacivanje krivnje na DPO-a nisu uzeti u obzir od strane DPA-a: odgovornost je kontrolora podataka odgovoriti na zahtjeve za pristup i osigurati da DPO ima dovoljno resursa.

U GrčkojAPD je izrekao kazne od 400.000, odnosno 40.000 eura Ministarstvu unutarnjih poslova i zastupniku Europskog parlamenta zbog slanja neželjenih političkih komunikacija, a adrese e-pošte dotičnih osoba zastupniku u Europskom parlamentu dostavilo je Ministarstvo unutarnjih poslova.

U Luksemburgu, APD je smatrao da korištenje video nadzora za opravdanje otkaza zaposlenika krši načelo ograničenja svrhe GDPR-a ako je izvorno instaliran radi osiguranja sigurnosti zaposlenika.

U Nizozemskoj, Sud je zabranio Microsoftu, LinkedInu i Xandru postavljanje kolačića za praćenje na web stranice trećih strana bez pristanka korisnika te je izrekao kaznu od 1000 eura po tvrtki za svaki dan nepoštivanja odluke.

Sud je presudio da te platforme ostaju odgovorne za prikupljanje valjane privole, čak i kada to prikupljanje povjere web stranicama trećih strana koje integriraju njihove tehnologije praćenja.

U DanskojAPD je ukorio grad Kopenhagen zbog neuspjeha u sprječavanju potencijalnog pristupa osobnim podacima 3,7 milijuna ljudi od strane 37.500 neovlaštenih zaposlenika.

Latvijski APD izrekao je kaznu od 1000 eura tvrtki koja je nudila fotografske usluge u zabavnom parku.

Tvrtka je fotografirala posjetitelje na temelju implicitnog pristanka, što se nije moglo smatrati pozitivnom radnjom.

U ItalijiAPD je kaznio tvrtku sa 100.000 eura zbog nezakonite obrade telefonskih brojeva u svrhu telemarketinga.

APD je smatrao da kontrolor podataka ne može prenijeti svoju odgovornost i obveze prema GDPR-u na podizvođača putem ugovorne klauzule.

Švedska službena razvojna pomoć (ODA) Avanza Bank AB kažnjena je s 1.318.955,55 eura (15 milijuna SEK) zbog kršenja članka 5(1)(f) i članka 32. GDPR-a, pri čemu je slučajna aktivacija dviju funkcija Meta Pixela rezultirala neovlaštenim prijenosom osobnih podataka tvrtki Meta Pixel.

U Poljskoj, ODA kaznila je tvrtku s 54.600 eura nakon što je gubitak USB ključa s nešifriranim podacima zaposlenika doveo do kršenja sigurnosti podataka.

13. lipnja, Nevladina organizacija NOYB podnijela je pritužbu austrijskom tijelu za zaštitu podataka (APD) protiv Googleovih praksi u vezi s prikupljanjem osobnih podataka putem njihovog "sandboxa za privatnost".

Nevladina organizacija ističe da su, otkako je Google u rujnu 2023. najavio postupno uklanjanje kolačića trećih strana iz svog preglednika Chrome, korisnici sve više poticani da aktiviraju takozvanu "značajku privatnosti oglasa" koja bi u stvarnosti omogućila Googleu da ih prati.

Dana 4. lipnja, NOYB je također podnio tužbu u Austriji protiv Microsofta, čije usluge "365 Education" navodno krše prava djece na zaštitu podataka.

Prema nevladinoj organizaciji, kada su učenici htjeli ostvariti svoja prava prema GDPR-u, Microsoft je izjavio da su škole "odgovorne" za svoje podatke, iako škole nemaju kontrolu nad Microsoftovim sustavima.

Udruženje Eu Travel Tech podnijelo je krajem svibnja pritužbu francuskim i belgijskim tijelima za zaštitu podataka protiv Ryanaira, u vezi s njegovom nedavnom provedbom zahtjeva za obradu biometrijskih podataka putnika radi pristupa upravljanju rezervacijama i funkcijama online prijave.

Udruga smatra da ovaj postupak biometrijske provjere krši načela zakonitosti, pravednosti i transparentnosti GDPR-a (putem AFCDP-a).

 

OECD je objavio 26. lipnja izvješće o umjetnoj inteligenciji, upravljanju podacima i zaštiti privatnosti.

Ovo izvješće analizira nacionalne i regionalne inicijative te predlaže potencijalna područja za suradnju.

Zalažući se za bolju međunarodnu suradnju, izvješće ima za cilj usmjeriti razvoj sustava umjetne inteligencije koji poštuju i podržavaju privatnost.

OECD je također objavio 19. lipnja radni dokument pod nazivom „prema digitalnoj sigurnosti već dizajniranoj za djecu“.

Dokument se usredotočuje na mjere koje trebaju poduzeti pružatelji digitalnih usluga i predlaže osam ključnih mjera, uključujući praktične alate, mjere za promicanje kulture sigurnosti i strategije za ublažavanje štete.

Ti elementi ilustrirani su studijama slučaja koje ističu potrebu usvajanja pristupa prilagođenih kontekstu.

Kalifornijska agencija za zaštitu privatnosti (CPPA) i CNIL potpisali su izjavu o suradnji, 25. lipnja 2024. u Parizu.

CNIL navodi da dva tijela namjeravaju udružiti napore kako bi ojačala zaštitu osobnih podataka francuskih i kalifornijskih građana.

Nvidia (jedan od vodećih dobavljača poluvodiča za umjetnu inteligenciju), Microsoft i OpenAI navodno su predmet spora... antimonopolsku istragu u Sjedinjenim Državama.

Prema izvješću Politica, Ministarstvo pravosuđa (DOJ) i Savezna trgovinska komisija (FTC) surađivat će po ovom pitanju. DOJ će se usredotočiti na Nvidiju, a FTC će ispitati partnerstvo između Microsofta i OpenAI-ja kako bi utvrdio imaju li nepravednu prednost.

Japan je 12. lipnja usvojio zakon sličan Uredbi o europskim digitalnim tržištima (DMA).

Tekst bi uključivao „obveze osiguranja interoperabilnosti, transparentnosti i prenosivosti podataka“.

Zakon će stupiti na snagu krajem prosinca 2025.

Američka tvrtka Dropbox je početkom svibnja objavio da je bio žrtva kibernetičkog napada..

Zlonamjerni upad odnosi se na njegovu platformu za sigurno elektroničko potpisivanje dokumenata, Dropbox Sign, ranije poznatu kao HelloSign.

Ukradeni podaci uključuju imena, adrese e-pošte, šifrirane lozinke, podatke o plaćanju i podatke za autentifikaciju.

Tvrtka tvrdi da je resetirala lozinke svih korisnika i prekinula sve sesije (putem AFCDP-a).