„Legal Watch“ Nr. 72 – 2024 m. birželis.  

Bendravimas ir rinkodara socialinėje žiniasklaidoje: kokios taisyklės taikomos profesionalams?

Socialiniai tinklai yra duomenų telkinys, kurį galima naudoti norint pasiekti potencialius klientus.

Šių duomenų naudojimas, nesvarbu, ar jie viešai prieinami socialiniame tinkle, ar sukuriant kontaktų tinklą, ir toliau reglamentuojamas įstatymų.

Jis turi atitikti BDAR ir Europos elektroninių ryšių direktyvos (ePrivatumo direktyvos) principus.

Taisyklės skiriasi, pavyzdžiui, jei susisiekiate su įmone („B2B“) arba su fiziniu asmeniu („B2C“).

Žmonių lūkesčiai taip pat skirsis priklausomai nuo to, ar yra jau esamų santykių: atkreipkite ypatingą dėmesį į informacijos apie žmones, kurie nėra jūsų kontaktų tinklo dalis, rinkimą (pavyzdžiui, rinkite potencialių klientų vardus diskusijų grupėse).

Svarbu nepamiršti trijų esminių principų: skaidrumo, pagarbos atitinkamų asmenų teisėms ir reagavimo į jų prašymus.

• Pateikite informaciją apie surinktus duomenis.

Rekomenduojama:

• Numatyti internetinės komunikacijos operacijos, pavyzdžiui, el. pašto kampanijos, poveikį, pranešimo pabaigoje pridedant pastabą, kurioje visų pirma paaiškinama duomenų kilmė ir komunikacijos tikslas.
• Pateikti straipsnį arba funkcinę nuorodą, nukreipiančią į informacijos puslapį apie duomenų valdytoją ir asmenų teises.
• Suteikti paprastą susisiekimo būdą (specialų el. pašto adresą, kontaktinę formą arba asmeninę žinutę socialiniuose tinkluose), kad būtų galima pateikti prašymus dėl prieigos prie duomenų, jų ištaisymo ar ištrynimo.
• Gerbkite asmenų teises ir, kai reikia, gaukite jų sutikimą.

Kai kurie žvalgybos metodai gali būti labiau įkyrūs nei kiti.

Pavyzdžiui, „LinkedIn“ platformoje „InMail“ leidžia (už tam tikrą mokestį) siųsti žinutes tiesiai į bet kurio vartotojo, kuris nėra jūsų kontaktų tinklo narys, pašto dėžutę.

Kai kurios rinkodaros programinės įrangos taip pat leidžia importuoti kontaktus (įskaitant profilius ir nuotraukas) iš socialinių tinklų, tokių kaip „LinkedIn“, „Facebook“, „Twitter“, „Viadeo“, „YouTube“ ar „Klout“, tolesniam apdorojimui.

Šie paieškos metodai turi atitikti el. pašto rinkodaros taisykles, kaip numatyta BDAR ir E. privatumo direktyvoje.

Todėl primenami šie principai:

• Atitiktis sutikimo sąlygai arba išankstinio reklamos gavėjo sutikimo gavimas: tai taikoma siunčiant „B2C“ reklamą el. paštu, SMS žinutėmis, MMS žinutėmis, automatiniais skambučiais arba faksu.
• Pagarba atsisakymo teisei siųsti pasiūlymus, kai reklamos gavėjas tam neprieštarauja: tai taikoma el. paštu siunčiamai „B2B“ reklamai ir paštu ar telefonu siunčiamai „B2C“ reklamai.
• Organizuoti atitinkamų asmenų prašymų valdymą.

Tai apima planavimą:

• Tipiškas atsakas interneto vartotojams, kurie, pavyzdžiui, pasinaudoja savo teise nesutikti ir (arba) paprašyti prieigos prie savo duomenų.
• Vidinė procedūra, skirta šiems prašymams kuo greičiau išnagrinėti, o standartinis BDAR numatytas terminas yra vienas mėnuo.

Atsakymo reagavimas ir veiksmingumas yra svarbūs, nes tai prisideda prie duomenų valdytojo reputacijos internete.

 

Prancūzijos duomenų apsaugos tarnyba (CNIL) paskelbė, kad atliks patikrinimus, susijusius su olimpinėmis ir parolimpinėmis žaidynėmis. siekiant užtikrinti žiūrovų privatumo apsaugą.

Ypatingas dėmesys bus skiriamas „papildytoms“ kameroms, QR kodams riboto patekimo zonose, bilietų pardavimo paslaugoms ir savanorių duomenims.

CNIL užregistravo 167 pranešimus apie BDAR pažeidimus po Europos Parlamento rinkimų.

Ji primena politinėms partijoms, atsižvelgiant į pirmalaikius įstatymų leidžiamosios valdžios rinkimus, taisykles, kurių reikia laikytis, ir informuoja jas, kad atliks patikrinimus, atsižvelgdama į pranešimų, kurie bus gauti per rinkimus, skaičių ir pobūdį.

Po praktinių vadovų paskelbimo praėjusių metų balandį Birželio 10 d. CNIL paskelbė antrą informacinių lapelių seriją ir klausimyną, skirtus dirbtinio intelekto (DI) sistemų kūrimo reguliavimui.

 Šių naujų įrankių tikslas – padėti specialistams suderinti inovacijas ir pagarbą žmonių teisėms, ypatingą dėmesį skiriant teisėto intereso, skaidrumo, žmonių teisių, duomenų anotavimo ir dirbtinio intelekto sistemos kūrimo saugumo teisiniam pagrindui.

Informaciniai lapeliai viešoms konsultacijoms teikiami iki 2024 m. rugsėjo 1 d.

Galiausiai CNIL liepos 4 d. paskelbtame tyrime nagrinėja alternatyvų sekimo technikoms kūrimas naudojant trečiųjų šalių slapukus ir apie jų pasekmes (taip pat žr. toliau pateiktus klausimus, kuriuos iškėlė „Google“ „privatumo smėlio dėžė“).

 

Europos institucijos ir įstaigos

Liepos 1 d. Europos Komisija informavo „Meta“ apie savo preliminarias išvadas, kad jos taikomas „mokėti arba sutikti“ reklamos modelis neatitinka Skaitmeninių rinkų įstatymo. (DMA, 5 straipsnio 2 dalis).

Šie rezultatai patvirtina Europos duomenų apsaugos valdybos (EDAV) praėjusių metų balandį paskelbtus rezultatus.

Komisijos teigimu, šis dvejetainis pasirinkimas verčia vartotojus sutikti su jų asmens duomenų sujungimu ir nesuteikia jiems mažiau suasmenintos, bet lygiavertės „Meta“ socialinių tinklų versijos.

Šios preliminarios išvados neturi įtakos tyrimo rezultatams.

Meta dabar turi galimybę pasinaudoti savo teise į gynybą ir atsakyti raštu.

Komisija tyrimą užbaigs per 12 mėnesių nuo procedūros pradžios, 2024 m. kovo 25 d.

Jei Komisijos preliminarios išvados galiausiai būtų patvirtintos, Komisija galėtų skirti baudas iki 10 % bendros „Meta“ pasaulinės apyvartos, o pakartotinių pažeidimų atveju – 20 %.

Pagal Duomenų valdymo reglamentą (DGA) Europos Komisija paskelbė pirmųjų valstybių narių jai praneštų „duomenų tarpininkų“ sąrašą.

Duomenų tarpininkai veikia kaip neutralios trečiosios šalys, kurios sujungia asmenis ir įmones su duomenų naudotojais.

Buvo užregistruotos penkios įmonės, iš kurių trys yra Prancūzijoje: AGDATAHUB, Hub One DataTrust ir M-ITRUST. Kitoms dviem pranešė Suomija ir Vengrija (per AFCDP).

Europos duomenų apsaugos valdyba (EDV) birželio 27 d. pradėjo projektą „Dirbtinio intelekto auditas“. Šiuo dokumentu siekiama padėti duomenų apsaugos institucijoms (DAI) tikrinti dirbtinio intelekto sistemas, apibrėžiant algoritmo audito metodiką kontrolinio sąrašo forma ir siūlant priemones, kurios padidintų jų skaidrumą.

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) birželio 3 d. paskelbė savo gaires dėl „generatyvinio dirbtinio intelekto ir asmens duomenų apsaugos“. siekiant suteikti ES institucijoms, įstaigoms, organams ir agentūroms praktinių patarimų ir nurodymų dėl asmens duomenų tvarkymo naudojant generatyvines dirbtinio intelekto sistemas ir sudaryti joms palankesnes sąlygas laikytis duomenų apsaugos teisinės sistemos reikalavimų.

Birželio 5 d. Tarptautinė duomenų apsaugos technologijų srityje darbo grupė (IWGDPT) priėmė darbinį dokumentą dėl veido atpažinimo technologijos.

Dokumente aprašomos naudojimo galimybės privačiame ir viešajame sektoriuose, pateikiamos tiek rizikos, tiek praktinės rekomendacijos, kaip taikyti duomenų apsaugos reikalavimus atitinkančią programą.

Birželio 20 d. Europos Sąjungos Teisingumo Teismas (ESTT) byloje C-590/22 nusprendė, kad Duomenų subjekto baimė, kad jo asmens duomenys buvo atskleisti trečiosioms šalims, yra pakankama priežastis gauti kompensaciją., jei ši baimė su neigiamomis pasekmėmis bus tinkamai įrodyta.

Norint pateisinti šį atlyginimą (per GDPR naujienas), nebūtina įrodyti, kad šie duomenys iš tikrųjų buvo perduoti trečiosioms šalims.

Birželio 20 d. sujungtose bylose C 182/22 ir C 189/22 – Scalable Capital Teismas taip pat nusprendė, kad Asmens duomenų saugumo pažeidimo padaryta moralinė žala iš savo pobūdžio nėra mažiau svarbi nei fizinė žala..

Be to, kad įvykis būtų klasifikuojamas kaip tapatybės vagystė, trečioji šalis turėjo būti netinkamai panaudojusi asmens duomenis.

Birželio 6 d. sprendime (Bersheda ir Rybolovlev prieš Monaką) Europos Žmogaus Teisių Teismas nusprendė, kad tyrimą atliekančio teisėjo advokato mobiliuoju telefonu atliekami tyrimai ir masinis bei beatodairiškas asmens duomenų, įskaitant duomenis, kuriuos anksčiau pareiškėjas buvo ištrynęs, gavimas viršijo šio teisėjo jurisdikciją ir nebuvo lydimas apsaugos priemonių, užtikrinančių pareiškėjo, kaip advokato, statuso ir profesinės paslapties gerbimą.

Spaudžiama pilietinės visuomenės ir Europos institucijos, atsakingos už Skaitmeninių paslaugų akto (DSA) įgyvendinimą, „LinkedIn“ iš savo platformos pašalino tikslinę reklamą, pagrįstą vartotojų jautriais asmens duomenimis..

Toks taikymas buvo laikomas DSA pažeidimu.

Įmonė Birželio viduryje „Meta“ patvirtino, kad sustabdo planus apmokyti savo dirbtinio intelekto sistemas naudojant vartotojų duomenis ES ir JK.

Projektas buvo skirtas vartotojų duomenims iš „Facebook“, „Instagram“ ir „Threads“.

Šis sprendimas priimtas po to, kai Airijos duomenų apsaugos komisija, veikianti kelių ES duomenų apsaugos institucijų, o ypač Hamburgo institucijos, vardu, ėmėsi veiksmų.

 

Naujienos iš Europos šalių narių.

Belgijos APD Birželio 3 d. bendrovė skyrė 172 000 eurų baudą, kuri neįvykdė prašymo ištrinti duomenis ir toliau siuntė tiesioginės rinkodaros el. laiškus.

Duomenų valdytojo argumentų, kuriais siekiama perkelti kaltę duomenų apsaugos pareigūnui, duomenų apsaugos institucija neatsižvelgė į tai: duomenų valdytojas privalo atsakyti į prašymus suteikti prieigą prie duomenų ir užtikrinti, kad duomenų apsaugos pareigūnas turėtų pakankamai išteklių.

GraikijojeAPD skyrė atitinkamai 400 000 ir 40 000 eurų baudas Vidaus reikalų ministerijai ir Europos Parlamento nariui už nepageidaujamų politinių pranešimų siuntimą; Vidaus reikalų ministerija Europos Parlamento nariui pateikė atitinkamų asmenų el. pašto adresus.

Liuksemburge APD manė, kad vaizdo stebėjimo naudojimas darbuotojo atleidimui pateisinti pažeidė BDAR tikslų ribojimo principą, jei jis iš pradžių buvo įdiegtas siekiant užtikrinti darbuotojų saugumą.

Nyderlanduose Teismas uždraudė „Microsoft“, „LinkedIn“ ir „Xandr“ trečiųjų šalių svetainėse be naudotojų sutikimo diegti sekimo slapukus ir skyrė 1000 eurų baudą kiekvienai bendrovei už kiekvieną sprendimo nevykdymo dieną.

Teismas nusprendė, kad šios platformos išlieka atsakingos už galiojančio sutikimo rinkimą, net kai jos patiki šį rinkimą trečiųjų šalių svetainėms, kurios integruoja savo sekimo technologijas.

DanijojeAPD papeikė Kopenhagos miestą už tai, kad šis nesugebėjo užkirsti kelio galimai prieigai prie 3,7 milijono žmonių asmens duomenų, kuriuos galėjo atlikti 37 500 neįgaliotų darbuotojų.

Latvijos APD skyrė 1000 eurų baudą pramogų parke fotografijos paslaugas siūlančiai bendrovei.

Bendrovė fotografavo lankytojus remdamasi numanomu sutikimu, kurio negalima laikyti teigiamu veiksmu.

ItalijojeAPD skyrė 100 000 eurų baudą bendrovei už neteisėtą telefono numerių tvarkymą telemarketingo tikslais.

APD laikėsi nuomonės, kad duomenų valdytojas negali perduoti savo atsakomybės ir įsipareigojimų pagal BDAR subrangovui sutarties sąlyga.

Švedijos oficialioji vystymosi parama (OPV) „Avanza Bank AB“ buvo skirta 1 318 955,55 eurų (15 mln. Švedijos kronų) bauda už BDAR 5(1)(f) straipsnio ir 32 straipsnio pažeidimą, kai netyčia aktyvavus dvi „Meta Pixel“ funkcijas buvo neteisėtai perduoti asmens duomenys „Meta Pixel“.

Lenkijoje OPV skyrė 54 600 eurų baudą įmonei po to, kai pametus USB atmintinę su neužšifruotais darbuotojų duomenimis įvyko duomenų nutekėjimas.

Birželio 13 d. NVO NOYB pateikė skundą Austrijos duomenų apsaugos tarnybai (APD) dėl „Google“ praktikos, susijusios su asmens duomenų rinkimu per „privatumo smėlio dėžę“.

NVO atkreipia dėmesį, kad nuo tada, kai „Google“ 2023 m. rugsėjį paskelbė, jog palaipsniui pašalins trečiųjų šalių slapukus iš savo „Chrome“ naršyklės, vartotojai buvo nuolat skatinami aktyvuoti vadinamąją „reklamos privatumo funkciją“, kuri iš tikrųjų leistų „Google“ juos sekti.

Birželio 4 d. NOYB taip pat pateikė skundą Austrijoje prieš „Microsoft“, kurios teikiamos „365 Education“ paslaugos tariamai pažeidžia vaikų duomenų apsaugos teises.

Pasak NVO, kai mokiniai norėjo pasinaudoti savo teisėmis pagal BDAR, „Microsoft“ pareiškė, kad mokyklos yra „atsakingos“ už jų duomenis, nors mokyklos nekontroliuoja „Microsoft“ sistemų.

Gegužės pabaigoje asociacija „Eu Travel Tech“ pateikė skundą Prancūzijos ir Belgijos duomenų apsaugos institucijoms prieš „Ryanair“ dėl neseniai įvesto reikalavimo tvarkyti klientų biometrinius duomenis, kad būtų galima naudotis užsakymų valdymo ir internetinės registracijos funkcijomis.

Asociacija mano, kad šis biometrinio patvirtinimo procesas pažeidžia BDAR (per AFCDP) teisėtumo, sąžiningumo ir skaidrumo principus.

 

EBPO birželio 26 d. paskelbė... ataskaita apie dirbtinį intelektą, duomenų valdymą ir privatumo apsaugą.

Šioje ataskaitoje apžvelgiamos nacionalinės ir regioninės iniciatyvos ir siūlomos galimos bendradarbiavimo sritys.

Ataskaitoje raginama glaudžiau bendradarbiauti tarptautiniu lygmeniu ir siekiama padėti kurti dirbtinio intelekto sistemas, kurios gerbtų ir palaikytų privatumą.

EBPO taip pat birželio 19 d. paskelbė darbinis dokumentas pavadinimu „Siekiant vaikams pritaikyto skaitmeninio saugumo“.

Dokumente daugiausia dėmesio skiriama veiksmams, kurių turi imtis skaitmeninių paslaugų teikėjai, ir siūlomos aštuonios pagrindinės priemonės, įskaitant praktines priemones, saugumo kultūros skatinimo priemones ir žalos mažinimo strategijas.

Šie elementai iliustruojami atvejų analizėmis, kuriose pabrėžiamas poreikis taikyti prie konteksto pritaikytus metodus.

Kalifornijos privatumo agentūra (CPPA) ir CNIL pasirašė bendradarbiavimo deklaraciją., 2024 m. birželio 25 d., Paryžiuje.

CNIL nurodo, kad abi valdžios institucijos ketina suvienyti pastangas, siekdamos sustiprinti Prancūzijos ir Kalifornijos piliečių asmens duomenų apsaugą.

Pranešama, kad „Nvidia“ (viena iš pirmaujančių puslaidininkių, skirtų dirbtinio intelekto skaičiavimams, tiekėjų), „Microsoft“ ir „OpenAI“ yra ginčo objektas. antimonopolinis tyrimas Jungtinėse Valstijose.

„Politico“ pranešime teigiama, kad Teisingumo departamentas (DOJ) ir Federalinė prekybos komisija (FTC) bendradarbiaus šiuo klausimu. DOJ daugiausia dėmesio skirs „Nvidia“, o FTC išnagrinės „Microsoft“ ir „OpenAI“ partnerystę, kad nustatytų, ar jos neturi nesąžiningo pranašumo.

Japonija birželio 12 d. priėmė įstatymą, panašų į Europos skaitmeninių rinkų reglamentą (DMA).

Tekste būtų numatyti „įsipareigojimai užtikrinti sąveikumą, skaidrumą ir duomenų perkeliamumą“.

Įstatymas įsigalios 2025 m. gruodžio pabaigoje.

Amerikos kompanija „Dropbox“ gegužės pradžioje paskelbė, kad tapo kibernetinės atakos auka..

Kenkėjiškas įsilaužimas susijęs su jos saugia elektroninių dokumentų pasirašymo platforma „Dropbox Sign“, anksčiau žinoma kaip „HelloSign“.

Pavogti duomenys apima vardus, el. pašto adresus, užšifruotus slaptažodžius, mokėjimo informaciją ir autentifikavimo informaciją.

Bendrovė teigia, kad iš naujo nustatė visų vartotojų slaptažodžius ir atjungė visas sesijas (per AFCDP).