Auditorijas analīze, lai labāk komunicētu... kādi ir noteikumi?

Juridiskā uzraudzība Nr. 49 — 2022. gada jūlijs

Auditorijas analīze, lai labāk komunicētu... kādi ir noteikumi? Mūsdienās plašsaziņas līdzekļi un sociālie tīkli ļauj uzņēmumiem analizēt savu auditoriju, lai labāk uzrunātu to, uzlabotu savu tēlu un pielāgotu mārketinga stratēģiju.

Tāpēc ir iespējams un arvien biežāk tiek izmantots veids, kā vērsties pie "sociālo mediju uzraudzības" uzņēmuma, kas pārmeklēs tīmekli, sekos līdzi svarīgākajām sarunām sociālajos tīklos un sniegs saviem klientiem ziņojumus un analīzes, kas pielāgotas viņu vajadzībām.

Lai gan publiski pieejami, šādi analizētie dati bieži vien ir personas dati, kurus joprojām aizsargā GDPR, neatkarīgi no tā, vai tie attiecas uz ietekmētājiem, žurnālistiem vai citām personām, kas aktīvi darbojas sociālajos tīklos.

Kam ir jāievēro šīs saistības?

Slēdzot līgumu ar ārēju partneri, lai novērtētu, kā tas tiek uztverts sociālajos medijos, klienta uzņēmums tiek uzskatīts par datu pārzini attiecībā uz nolīgto pakalpojumu, bet mediju monitoringa uzņēmums ir apakšuzņēmējs.

Sekas ir būtiskas, jo tas ietver atbildību par to, kā sociālo mediju dati tiek vākti, apstrādāti un glabāti.

Tāpēc, noslēdzot šādu līgumu, ieteicams pārbaudīt vairākus elementus, lai nodrošinātu, ka uzņēmuma, kas veic “plašsaziņas līdzekļu uzraudzību”, prakse atbilst GDPR:

• Kur atrodas uzņēmums?

Ja uzņēmums ir dibināts ārpus ES, ir svarīgi pārbaudīt piemērojamos tiesību aktus, jo īpaši, ja uzņēmums neatrodas valstī, kas piedāvā atbilstošu aizsardzības līmeni.

Šajā gadījumā tai būs jāizmanto īpašas garantijas datu aizsardzības nodrošināšanai, visbiežāk standarta līguma klauzulas.

• Vai uzņēmums sniedz sava datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju?

• Vai tā publicē savu datu aizsardzības privātuma politiku savā tīmekļa vietnē, vai arī to var darīt pieejamu pēc pieprasījuma?

Lūdzu, ņemiet vērā, ka šeit ir jānošķir tīmekļa vietnes datu aizsardzības politika un mediju monitoringa pakalpojumu datu apstrādes politika.

• Vai šajā dokumentā un/vai līgumā ir iekļauta šāda informācija?

• Attiecīgās apakšuzņēmēja vai datu pārziņa lomas, katras personas atbildības apjoms;

• Personas datu vākšanas nosacījumi, datu avots, apkopoto datu veidi un glabāšanas vieta, veids, kādā šie dati tiek apkopoti vai pseidonimizēti, ja piemērojams;

• Juridiskais pamats;

• Datu glabāšanas periods;

• Drošības un konfidencialitātes pasākumi;

• Datu pārsūtīšana ārpus ES;

• Informācija attiecīgajām personām un to tiesību īstenošanas veidi.

Vislabāk ir uzticēties uzņēmumiem, kas sniedz visdetalizētāko informāciju par šiem dažādajiem elementiem.

Tas neatbrīvo klienta uzņēmumu no papildu pasākumu veikšanas kā datu pārzinim.

Attiecībā uz attiecīgo personu informēšanu var uzskatīt, ka tieša informēšana prasa nesamērīgi lielas pūles.

Tomēr tīmekļa vietnes datu aizsardzības politikai var pievienot informatīvu paziņojumu, informējot sabiedrību kopumā par veiktajām auditorijas analīzēm, norādot dažādos pienākumus un tiesības un atsaucoties uz ārējā partnera tīmekļa vietni, lai iegūtu sīkāku informāciju.

Un arī

Francija:

CNIL publicēja savu nostāju par pastiprinātajām kamerām 19. jūlijā. un aicina veikt vispārēju pārdomu par šo rīku pareizu izmantošanu sabiedriskās vietās.

Komisija norāda uz risku, ko rada plaša mēroga novērošana un analīze, kas varētu mainīt cilvēku uzvedību, ejot pa ielu vai dodoties uz veikaliem.

Viņa norāda, ka Francijas likumi neļauj valsts iestādēm izmantot pastiprinātas kameras pārkāpumu atklāšanai un kriminālvajāšanai, un uzskata, ka ir jānosaka sarkanās līnijas, lai šīs kameras nekad neizmantotu cilvēku "vērtēšanai".

26. jūlijā CNIL publicēja ieteikumus par vecuma kontroli tīmekļa vietnēs: Tajā tiek aicināts izstrādāt efektīvākus un privātumu ievērošanu veicinošus risinājumus, atsaucoties uz bankas karšu izmantošanu un sejas atpazīšanu.

Tas atbalsta arī uzticamu trešo pušu lomas attīstību.

CNIL 21. jūlijā arī uzlika uzņēmumam Ubeeqo International 175 000 eiro sodu. automašīnu nomas uzņēmumu, jo īpaši par to, ka tas ir izraisījis nesamērīgu iejaukšanos klientu privātumā, gandrīz pastāvīgi nosakot viņu ģeolokāciju.

Eiropa:

Eiropas Parlaments 5. jūlijā ar ļoti lielu balsu vairākumu pieņēma divus Eiropas noteikumus par digitālajiem tirgiem un digitālajiem pakalpojumiem (DMA un DSA).

Padome jūlijā beidzot apstiprināja arī DMA, savukārt DSA apstiprināšana ir paredzēta novembrī.

Komisija jau apsver specializētas nodaļas izveidi, lai nodrošinātu digitālo gigantu atbilstību DMA prasībām.

Eiropas Datu aizsardzības kolēģija (EDPB) 28. jūlija vēstulē vairākām NVO atbildēja uz TikTok veikto personas datu vākšanu.

Tajā uzsvērta Īrijas, Itālijas un Spānijas uzraudzības iestāžu ātrā rīcība pēc TikTok paziņojuma, ka vairs nepieprasīs lietotāju piekrišanu personalizētu reklāmu sūtīšanai (juridiskais pamats kļūst par TikTok un tā partneru leģitīmajām interesēm).

Pēc šīm darbībām TikTok paziņoja, ka aptur šo juridiskā pamata maiņu.

Komiteja arī pauda nostāju kopā ar Eiropas Datu aizsardzības uzraudzītāju (EDAU) par ierosināto regulu bērnu seksuālas izmantošanas novēršanai un apkarošanai.

Priekšlikuma mērķis ir noteikt pienākumus dažādiem tīmekļa pakalpojumiem, kas saistīti ar bērnu seksuālas izmantošanas materiālu (CSAM) un bērnu uzmākšanās atklāšanu, ziņošanu, dzēšanu un bloķēšanu tiešsaistē.

Atgādinot, ka tās uzskata šos noziegumus par īpaši nopietniem un nežēlīgiem, uzraudzības iestādes norāda, ka priekšlikuma uzmācīgais raksturs tā pašreizējā formā var radīt lielāku risku indivīdiem un līdz ar to sabiedrībai kopumā nekā noziedzniekiem, pret kuriem tiek veikta CSAM kriminālvajāšana.

EDAK un EDAU ir snieguši savu atzinumu par Eiropas Komisijas priekšlikumu par Eiropas veselības datu telpu (EHDS).

Priekšlikuma mērķis ir izveidot “Eiropas veselības savienību”, “pilnībā izmantojot potenciālu, ko piedāvā droša un aizsargāta veselības datu apmaiņa, izmantošana un atkārtota izmantošana”.

Atzinumā jo īpaši uzsvērti riski, kas saistīti ar elektronisko veselības datu sekundāru izmantošanu, kas var sniegt labumu sabiedrībai, taču apdraud indivīdu tiesības un brīvības.

EDAK savu nostāju par datu pārsūtīšanu uz Krieviju publicēja 12. jūlijā.

Komiteja nekomentē datu aizsardzības līmeņa attīstību šajā valstī kopš kara sākuma, bet norāda, ka datu pārsūtīšana ir jāpakļauj ietekmes analīzei katrā atsevišķā gadījumā.

Eiropas Savienības Tiesa 1. augustā publicēja svarīgu spriedumu par sensitīvu datu aizsardzības apjomu.

Personas datu “īpašu kategoriju” jēdziens būtu jāinterpretē plaši, jo īpaši, lai nodrošinātu VDAR 9. panta 1. punkta mērķa sasniegšanu.

Attiecīgais Lietuvas likums par interešu konfliktu un korupcijas novēršanu paredzēja valsts amatpersonas partnera vārda publicēšanu.

Tiesa konstatēja, ka šī informācija varētu atklāt informāciju par policista un viņa partnera seksuālo dzīvi vai orientāciju.

Norvēģijā datu aizsardzības iestāde ir uzsākusi sadarbību ar arodbiedrībām kameru novērošanas uzraudzībā darba vietā.

Iestādes Apelācijas komiteja arī piekrita, ka iegūstošā sabiedrība uzņemas atbildību par datu pārzini pirms iegādes, un apstiprināja lēmumu sodīt to ar aptuveni 12 000 eiro sodu par nelikumīgu kredītreitinga noteikšanu, kas ir VDAR 6. panta 1. punkta pārkāpums (izmantojot GDPRhub).

Lejassaksijas Datu aizsardzības pārvalde ir piespriedusi Volkswagen viena miljona eiro sodu par datu aizsardzības pārkāpumiem, izmantojot testa transportlīdzekli ar kamerām. paredzēts, lai uzlabotu autovadītāja palīdzības un negadījumu novēršanas sistēmas.

Testa automašīna tika vadīta bez jebkādas redzamas informācijas kameru novērošanas laukā.

Dānijas datu aizsardzības iestāde (DPA) ir izteikusi rājienu Veselības datu iestādei par to, ka tā nav pārbaudījusi savu zāļu datubāzi. lai atklātu pakalpojumu arhitektūras kļūdas, kas izraisīja datu noplūdi, kura skāra 267 personas (izmantojot GDPRhub).

DPA arī izteica rājienu Helsingēras pašvaldībai par Google Chromebook datoru un “Google Workspace for Education” izmantošanu pamatskolās.

Tā ir aizliegusi šo apstrādi, līdz tā tiek nodrošināta atbilstoši GDPR, un ir apturējusi jebkādu saistīto datu pārsūtīšanu uz Amerikas Savienotajām Valstīm (izmantojot GDPRhub).

Saistītā piezīmē Nīderlandē studenti un darbinieki interneta meklējumiem tagad tiek novirzīti uz DuckDuckGo, nevis Google meklēšanu.

Slovēnijas Datu aizsardzības iestāde ir pārklasificējusi mākoņpakalpojumu sniedzēja un tā klientu līgumu: tā konstatēja, ka nepastāv pārziņa/apstrādātāja attiecības, bet gan kopīga atbildība., jo abas puses pieņēma lēmumus par apstrādes mērķiem un līdzekļiem (izmantojot GDPRhub)

Bādenes-Virtembergas Publisko iepirkumu palāta norāda, ka personas datu nodošana uz trešo valsti (ārpus ES) saskaņā ar GDPR nav pieļaujama., pat ja atbilstošo serveri pārvalda ES bāzēts uzņēmums, ja vien tas ir daļa no amerikāņu grupas.

Starptautiskās:

NVO Data Rights un tās Kenijas partnerorganizācijas — Kenijas Cilvēktiesību komisija un Nūbijas tiesību forums — iesūdz Parīzes tiesā tiesā IDEMIA, vadošo Francijas biometrisko tehnoloģiju uzņēmumu..

Šīs organizācijas apsūdz IDEMIA par to, ka tā nav ņēmusi vērā cilvēktiesības savā modrības plānā attiecībā uz iedzīvotāju biometrisko datu iegūšanu valsts digitālās identifikācijas sistēmas izstrādei Kenijā.

13. jūlija laikraksta “Daily Mail” numurā tiek apspriesta mākslīgā intelekta izmantošana Ķīnā, lai “uzlabotu” savu tiesu darbību: Datori labotu spriedumā uztvertās cilvēciskās kļūdas, pieprasot tiesnešiem iesniegt mašīnai rakstisku paskaidrojumu, ja viņi nepiekrīt mākslīgā intelekta labojumiem.

Lielbritānija un Amerikas Savienotās Valstis oktobrī sāks apmainīties ar datiem, kas saistīti ar tiesībaizsardzības iestāžu izmeklēšanām, saskaņā ar CLOUD nolīgumu starp abām valstīm.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.