Auditorijos analizė siekiant geriau bendrauti... kokios yra taisyklės?

Teisinis stebėjimas Nr. 49 – 2022 m. liepa

Auditorijos analizė siekiant geriau bendrauti... kokios yra taisyklės? Šiandien žiniasklaida ir socialiniai tinklai leidžia įmonėms analizuoti savo auditoriją, kad galėtų geriau ją nukreipti, pagerinti savo įvaizdį ir pritaikyti rinkodaros strategiją.

Todėl galima ir vis dažniau pasitaiko kreiptis į „socialinės žiniasklaidos stebėjimo“ įmonę, kuri iššūks žiniatinklį, seks aktualiausius pokalbius socialiniuose tinkluose ir pateiks savo klientams ataskaitas bei analizes, pritaikytas jų poreikiams.

Nors tokiu būdu analizuojami duomenys yra vieši, jie dažnai yra asmens duomenys, kurie lieka saugomi BDAR, nesvarbu, ar tai susiję su influenceriais, žurnalistais ar kitais socialiniuose tinkluose aktyviais asmenimis.

Kas privalo laikytis šių įsipareigojimų?

Kai su išorės partneriu sudaroma sutartis dėl socialinės žiniasklaidos suvokimo vertinimo, kliento įmonė laikoma duomenų valdytoju, o žiniasklaidos stebėsenos įmonė – subrangovu.

Pasekmės yra reikšmingos, nes tai apima atsakomybę už tai, kaip socialinės žiniasklaidos duomenys yra renkami, tvarkomi ir saugomi.

Todėl sudarant tokią sutartį patartina patikrinti kelis elementus, siekiant užtikrinti, kad „žiniasklaidos stebėseną“ vykdančios įmonės praktika atitiktų BDAR:

• Kur yra įsikūrusi įmonė?

Jei įmonė įsteigta ne ES, svarbu patikrinti taikytiną teisę, ypač jei įmonė nėra įsikūrusi šalyje, kurioje būtų užtikrintas pakankamas apsaugos lygis.

Tokiu atveju ji turės naudoti konkrečias duomenų apsaugos garantijas, dažniausiai standartines sutarčių sąlygas.

• Ar įmonė pateikia savo duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis?

• Ar ji skelbia savo duomenų apsaugos privatumo politiką savo interneto svetainėje, ar su ja galima susipažinti paprašius?

Atkreipkite dėmesį, kad čia reikia atskirti svetainės duomenų apsaugos politiką ir žiniasklaidos stebėsenos paslaugų duomenų tvarkymo politiką.

• Ar šiame dokumente ir (arba) sutartyje yra toliau nurodyta informacija?

• Atitinkami subrangovo arba duomenų valdytojo vaidmenys, kiekvieno asmens atsakomybės apimtis;

• Asmens duomenų rinkimo sąlygos, duomenų šaltinis, renkamų duomenų rūšys ir saugojimo vieta, būdas, kuriuo šie duomenys yra apibendrinami arba pseudonimizuojami, jei taikoma;

• Teisinis pagrindas;

• Duomenų saugojimo laikotarpis;

• Saugumo ir konfidencialumo priemonės;

• Duomenų perdavimas už ES ribų;

• Informacija suinteresuotiems asmenims ir jų teisių įgyvendinimo būdai.

Geriausia pasitikėti įmonėmis, kurios pateikia išsamiausią informaciją apie šiuos įvairius elementus.

Tai neatleidžia kliento įmonės nuo pareigos pačiai imtis papildomų priemonių kaip duomenų valdytojui.

Kalbant visų pirma apie atitinkamų asmenų informavimą, galima manyti, kad tiesioginis informavimas reikalauja neproporcingų pastangų.

Tačiau prie svetainės duomenų apsaugos politikos gali būti pridėtas informacinis pranešimas, kuriame visuomenė būtų informuojama apie atliktas auditorijos analizes, būtų nurodytos įvairios pareigos ir teisės, o išsamesnė informacija pateikiama išorės partnerio svetainėje.

Ir taip pat

Prancūzija:

CNIL savo poziciją dėl papildinių kamerų paskelbė liepos 19 d. ir ragina visapusiškai apsvarstyti tinkamą šių priemonių naudojimą viešosiose erdvėse.

Komisija atkreipia dėmesį į riziką, kad plačiai paplitęs stebėjimas ir analizė gali pakeisti gatvėje vaikštančių ar į parduotuves besilankančių žmonių elgesį.

Ji atkreipia dėmesį, kad Prancūzijos įstatymai neleidžia valdžios institucijoms naudoti sustiprintų kamerų nusikaltimams nustatyti ir patraukti baudžiamojon atsakomybėn, ir mano, kad būtina nustatyti raudonas linijas, kad šios kameros niekada nebūtų naudojamos žmonių „vertinimui“.

Liepos 26 d. CNIL paskelbė rekomendacijas dėl amžiaus kontrolės interneto svetainėse: Jame raginama kurti veiksmingesnius ir privatumą užtikrinančius sprendimus, atsižvelgiant į banko kortelių naudojimą ir veido atpažinimą.

Tai taip pat remia patikimų trečiųjų šalių vaidmens plėtrą.

CNIL liepos 21 d. taip pat skyrė 175 000 eurų baudą bendrovei „Ubeeqo International“. automobilių nuomos bendrovę, visų pirma už tai, kad ji neproporcingai pažeidė savo klientų privatumą beveik nuolat nustatydama jų geografinę vietą.

Europa:

Liepos 5 d. Europos Parlamentas labai didele balsų dauguma priėmė du Europos reglamentus dėl skaitmeninių rinkų ir skaitmeninių paslaugų (DMA ir DSA).

DMA taip pat galiausiai patvirtino Taryba liepos mėnesį, o DSA turėtų būti patvirtintas lapkritį.

Komisija jau svarsto galimybę įsteigti specializuotą padalinį, kuris užtikrintų skaitmeninių milžinių atitiktį DMA reikalavimams.

Europos duomenų apsaugos valdyba (EDPB) liepos 28 d. laiške kelioms NVO atsakė į „TikTok“ asmens duomenų rinkimą.

Jame pabrėžiami greiti Airijos, Italijos ir Ispanijos priežiūros institucijų veiksmai po to, kai „TikTok“ paskelbė, kad nebeprašys vartotojų sutikimo siųsti suasmenintus skelbimus (teisinis pagrindas tampa teisėtu „TikTok“ ir jos partnerių interesu).

Po šių veiksmų „TikTok“ paskelbė, kad sustabdo šį teisinio pagrindo pakeitimą.

Komitetas taip pat susitarė su Europos duomenų apsaugos priežiūros pareigūnu (EDAPP) dėl siūlomo reglamento, skirto vaikų seksualinės prievartos prevencijai ir kovai su ja.

Pasiūlymu siekiama nustatyti įpareigojimus įvairioms interneto paslaugoms, susijusioms su vaikų seksualinės prievartos medžiagos (CSAM) ir vaikų priekabiavimo aptikimu, pranešimu, šalinimu ir blokavimu internete.

Primindamos, kad šiuos nusikaltimus jos laiko ypač sunkiais ir žiauriais, priežiūros institucijos atkreipia dėmesį, kad dabartinio pasiūlymo įkyrus pobūdis gali kelti daugiau rizikos asmenims ir, atitinkamai, visai visuomenei nei nusikaltėliams, kuriuos persekioja CSAM.

Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos pareigūnas (EDAP) paskelbė savo nuomonę dėl Europos Komisijos pasiūlymo dėl Europos sveikatos duomenų erdvės (EHDS).

Pasiūlymo tikslas – sukurti „Europos sveikatos sąjungą“, „visapusiškai išnaudojant saugaus ir patikimo keitimosi sveikatos duomenimis, jų naudojimo ir pakartotinio naudojimo potencialą“.

Nuomonėje ypač pabrėžiama rizika, susijusi su antriniu elektroninių sveikatos duomenų naudojimu, kuris gali būti naudingas visuomenės labui, tačiau kelia pavojų asmenų teisėms ir laisvėms.

Europos duomenų apsaugos valdyba (EDAV) savo poziciją dėl duomenų perdavimo Rusijai paskelbė liepos 12 d.

Komitetas nekomentuoja duomenų apsaugos lygio raidos šioje šalyje nuo karo pradžios, tačiau atkreipia dėmesį, kad kiekvienu atveju duomenų perdavimas turi būti atliekamas atliekant poveikio analizę.

Europos Sąjungos Teisingumo Teismas rugpjūčio 1 d. paskelbė svarbų sprendimą dėl jautrių duomenų apsaugos apimties.

„Specialiųjų kategorijų“ asmens duomenų sąvoka turėtų būti aiškinama plačiai, visų pirma siekiant užtikrinti, kad būtų pasiektas BDAR 9(1) straipsnio tikslas.

Aptariamas Lietuvos įstatymas dėl interesų konfliktų ir korupcijos prevencijos reikalavo skelbti valstybės pareigūno partnerio vardą ir pavardę.

Teismas nustatė, kad ši informacija gali atskleisti informacijos apie pareigūno ir jo partnerės seksualinį gyvenimą ar orientaciją.

Norvegijoje duomenų apsaugos institucija pradėjo bendradarbiauti su profesinėmis sąjungomis dėl vaizdo stebėjimo darbo vietoje.

Priežiūros institucijos apeliacijų komitetas taip pat sutiko, kad įsigyjanti bendrovė prisiima atsakomybę už duomenų valdytoją iki įsigijimo, ir patvirtino sprendimą skirti jai maždaug 12 000 EUR baudą už neteisėtą kredito balų skyrimą, pažeidžiant BDAR 6(1) straipsnį (per GDPRhub)

Žemutinės Saksonijos duomenų apsaugos tarnyba skyrė „Volkswagen“ milijono eurų baudą už duomenų apsaugos pažeidimus, susijusius su bandomojo automobilio su kameromis naudojimu. skirta pagerinti vairuotojo pagalbos ir avarijų prevencijos sistemas.

Bandomasis automobilis buvo vairuojamas be jokios matomos informacijos kamerų stebėjimo lauke.

Danijos duomenų apsaugos agentūra (DPA) papeikė Sveikatos duomenų tarnybą (DTA) už tai, kad ši nepatikrino savo vaistų duomenų bazės. siekiant aptikti paslaugų architektūros klaidas, dėl kurių įvyko duomenų saugumo pažeidimas, paveikusis 267 asmenis (per „GDPRhub“).

DPA taip pat papeikė Helsingøro savivaldybę už „Google Chromebook“ ir „Google Workspace for Education“ naudojimą pradinėse mokyklose.

Ji uždraudė šį tvarkymą, kol jis nebus suderintas su BDAR, ir sustabdė bet kokį susijusį duomenų perdavimą į Jungtines Valstijas (per GDPRhub).

Beje, Nyderlanduose studentai ir darbuotojai, norėdami atlikti paieškas internete, dabar nukreipiami į „DuckDuckGo“, o ne į „Google“ paiešką.

Slovėnijos duomenų apsaugos tarnyba perkvalifikavo debesijos paslaugų teikėjo ir jo klientų susitarimą: ji nustatė, kad nebuvo duomenų valdytojo / tvarkytojo santykių, o veikiau buvo bendra atsakomybė., nes abi šalys priėmė sprendimus dėl tvarkymo tikslų ir priemonių (per GDPRhub)

Badeno-Viurtembergo viešųjų pirkimų rūmai pažymi, kad asmens duomenų perdavimas į trečiąją šalį (už ES ribų) yra neleistinas pagal BDAR., net jei atitinkamą serverį valdo ES įsikūrusi įmonė, jei ji priklauso Amerikos grupei.

Tarptautinis:

NVO „Data Rights“ ir jos Kenijos partnerės – Kenijos žmogaus teisių komisija ir Nubijos teisių forumas – padavė Paryžiaus teisme į teismą pirmaujančią Prancūzijos biometrinių technologijų bendrovę IDEMIA..

Šios organizacijos kaltina IDEMIA, kad ji neatsižvelgė į žmogaus teises savo budrumo plane, susijusiame su biometrinių duomenų rinkimu iš gyventojų, siekiant sukurti nacionalinę skaitmeninio identifikavimo sistemą Kenijoje.

Liepos 13 d. „Daily Mail“ aptaria Kinijos dirbtinio intelekto naudojimą teismų veikimui „pagerinti“: Kompiuteriai ištaisytų nuosprendyje pastebėtas žmogiškas klaidas, reikalaudami, kad teisėjai pateiktų mašinai raštišką paaiškinimą, jei nesutinka su dirbtinio intelekto pataisymais.

Didžioji Britanija ir Jungtinės Valstijos spalio mėnesį pradės dalytis su teisėsaugos tyrimais susijusiais duomenimis pagal CLOUD susitarimą tarp dviejų šalių.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.