Juridiskā uzraudzība Nr. 72 — 2024. gada jūnijs.  

Komunikācija un mārketings sociālajos medijos: kādi ir noteikumi profesionāļiem?

Sociālie tīkli veido datu kopumu, ko var izmantot, lai atlasītu potenciālos klientus.

Šo datu izmantošana neatkarīgi no tā, vai tie ir publiski pieejami sociālajā tīklā vai izveidojot kontaktu tīklu, joprojām ir pakļauta likumam.

Tam ir jāatbilst GDPR un Eiropas elektronisko komunikāciju direktīvas (ePrivātuma direktīvas) principiem.

Noteikumi atšķiras, piemēram, ja sazināties ar uzņēmumu (“B2B”) vai fizisku personu (“B2C”).

Cilvēku gaidas atšķirsies arī atkarībā no tā, vai pastāv iepriekšējas attiecības: pievērsiet īpašu uzmanību informācijas apkopošanai par cilvēkiem, kuri nav jūsu kontaktu tīklā (piemēram, vācot potenciālo klientu vārdus diskusiju grupās).

Ir svarīgi paturēt prātā trīs būtiskus principus: pārredzamību, attiecīgo personu tiesību ievērošanu un atsaucību uz viņu pieprasījumiem.

• Sniedziet informāciju par apkopotajiem datiem.

Ieteicams:

• Lai paredzētu tiešsaistes saziņas operācijas, piemēram, e-pasta kampaņas, ietekmi, ziņojuma beigās pievienojot piezīmi, kurā jo īpaši paskaidrota datu izcelsme un saziņas mērķis.
• Lai sniegtu rakstu vai funkcionālu saiti, kas ved uz informācijas lapu par datu pārzini un personu tiesībām.
• Lai piedāvātu vienkāršu saziņas veidu (īpašu e-pastu, kontaktformu vai privātu ziņojumu sociālajos tīklos), lai varētu pieprasīt piekļuvi datiem, to labošanu vai dzēšanu.
• Ievērojiet indivīdu tiesības un, ja nepieciešams, iegūstiet viņu piekrišanu.

Dažas izpētes metodes var būt uzbāzīgākas nekā citas.

Piemēram, vietnē LinkedIn InMail ļauj (par maksu) sūtīt ziņojumus tieši uz jebkura lietotāja iesūtni, kurš nav jūsu kontaktu tīkla dalībnieks.

Daļa mārketinga programmatūras ļauj arī importēt kontaktpersonas (tostarp profilus un fotoattēlus) no sociālajiem tīkliem, piemēram, LinkedIn, Facebook, Twitter, Viadeo, YouTube vai Klout, tālākai apstrādei.

Šīm izpētes metodēm ir jāatbilst e-pasta mārketinga noteikumiem, kā noteikts GDPR un E-privātuma direktīvā.

Tādējādi tiek atgādināti šādi principi:

• Atbilstība piekrišanas saņemšanas nosacījumiem vai iepriekšējas piekrišanas saņemšana no reklāmas saņēmēja: tas attiecas uz "B2C" reklāmas sūtīšanu pa e-pastu, īsziņu, multiziņu, automatizētiem zvaniem vai faksu.
• Atteikšanās tiesību ievērošana, kas ļauj sūtīt piedāvājumus, ja reklāmas saņēmējs nav iebildis: tas attiecas uz "B2B" reklāmu, kas tiek sūtīta pa e-pastu, un "B2C" reklāmu, kas tiek sūtīta pa pastu vai tālruni.
• Organizēt attiecīgo personu pieprasījumu pārvaldību.

Tas ietver plānošanu:

• Tipiska atbilde interneta lietotājiem, kuri, piemēram, izmanto savas tiesības iebilst un/vai pieprasīt piekļuvi saviem datiem.
• Iekšēja procedūra šo pieprasījumu apstrādei pēc iespējas ātrāk, GDPR paredzētajam standarta termiņam esot vienam mēnesim.

Atbildes reaģētspēja un efektivitāte ir svarīga, jo tā veicina datu pārziņa reputāciju tiešsaistē.

 

Francijas Datu aizsardzības iestāde (CNIL) ir paziņojusi, ka veiks pārbaudes saistībā ar Olimpiskajām un Paralimpiskajām spēlēm. lai garantētu skatītāju privātuma neaizskaramību.

Tas jo īpaši būs vērsts uz "papildinātām" kameru ierīcēm, QR kodiem ierobežotas piekļuves zonām, biļešu pārdošanas pakalpojumiem un brīvprātīgo datiem.

Pēc Eiropas vēlēšanām CNIL reģistrēja 167 ziņojumus par GDPR pārkāpumiem.

Tā atgādina politiskajām partijām saistībā ar pirmstermiņa likumdevēja vēlēšanām par noteikumiem, kas jāievēro, un informē tās, ka veiks pārbaudes, pamatojoties uz vēlēšanu kontekstā saņemto ziņojumu skaitu un raksturu.

Pēc praktisko rokasgrāmatu publicēšanas pagājušā gada aprīlī 10. jūnijā CNIL publicēja otro faktu lapu sēriju un anketu, kas veltīta mākslīgā intelekta (MI) sistēmu izstrādes regulējumam.

 Šie jaunie rīki ir paredzēti, lai palīdzētu profesionāļiem saskaņot inovāciju un cilvēku tiesību ievērošanu, un jo īpaši koncentrējas uz likumīgo interešu juridisko pamatu, pārredzamību, cilvēku tiesībām, datu anotāciju un mākslīgā intelekta sistēmas izstrādes drošību.

Faktu lapas ir pieejamas sabiedriskai apspriešanai līdz 2024. gada 1. septembrim.

Visbeidzot, CNIL 4. jūlijā publicētā pētījumā analizē alternatīvu izsekošanas metožu izstrāde, izmantojot trešo pušu sīkfailus un par to sekām (sk. arī tālāk sniegtos jautājumus, ko rada Google “privātuma smilškaste”).

 

Eiropas iestādes un struktūras

1. jūlijā Eiropas Komisija informēja Meta par saviem sākotnējiem secinājumiem, ka tās “samaksas vai piekrišanas” reklāmas modelis neatbilst Digitālā tirgus likumam. (DMA, 5. panta 2. punkts).

Šie konstatējumi apstiprina Eiropas Datu aizsardzības kolēģijas (EDAK) pagājušā gada aprīlī publicētos konstatējumus.

Saskaņā ar Komisijas teikto, šī binārā izvēle piespiež lietotājus piekrist savu personas datu apvienošanai un nenodrošina viņiem mazāk personalizētu, bet līdzvērtīgu Meta sociālo tīklu versiju.

Šie sākotnējie konstatējumi neietekmē izmeklēšanas iznākumu.

Metai tagad ir iespēja īstenot savas tiesības uz aizstāvību un atbildēt rakstiski.

Komisija pabeigs izmeklēšanu 12 mēnešu laikā pēc procedūras uzsākšanas, 2024. gada 25. martā.

Ja Komisijas sākotnējie konstatējumi galu galā tiks apstiprināti, Komisija varētu piemērot naudas sodus līdz 10 % no Meta kopējā pasaules apgrozījuma un 20 % atkārtotu pārkāpumu gadījumā.

Saskaņā ar Datu pārvaldības regulu (DGA) Eiropas Komisija ir publicējusi pirmo "datu starpnieku" sarakstu, par kuriem tai paziņojušas dalībvalstis.

Datu starpnieki darbojas kā neitrālas trešās puses, kas savieno personas un uzņēmumus ar datu lietotājiem.

Tika reģistrēti pieci uzņēmumi, no kuriem trīs atrodas Francijā: AGDATAHUB, Hub One DataTrust un M-ITRUST. Pārējos divus paziņoja Somija un Ungārija (izmantojot AFCDP).

EDAK 27. jūnijā uzsāka projektu "Mākslīgā intelekta audits". : tā mērķis ir palīdzēt datu aizsardzības iestādēm (DAI) pārbaudīt mākslīgā intelekta sistēmas, definējot metodoloģiju kontrolsaraksta veidā algoritma auditam un ierosinot rīkus, kas uzlabotu to pārredzamību.

Eiropas Datu aizsardzības uzraudzītājs (EDAU) 3. jūnijā publicēja savas vadlīnijas par "ģeneratīvo mākslīgo intelektu un personas datu aizsardzību". lai sniegtu ES iestādēm, struktūrām, birojiem un aģentūrām praktiskus padomus un norādījumus par personas datu apstrādi, izmantojot ģeneratīvās mākslīgā intelekta sistēmas, un lai veicinātu to atbilstību datu aizsardzības tiesiskā regulējuma prasībām.

Starptautiskā datu aizsardzības tehnoloģiju jomā darba grupa (IWGDPT) 5. jūnijā pieņēma darba dokumentu par sejas atpazīšanas tehnoloģiju.

Dokumentā aprakstītas izmantošanas iespējas privātajā un publiskajā sektorā, kā arī sniegti gan riski, gan praktiski ieteikumi lietojumprogrammai, kas atbilst datu aizsardzības prasībām.

20. jūnijā Eiropas Savienības Tiesa (EST) lietā C-590/22 lēma, ka Datu subjekta bailes, ka viņa personas dati ir izpausti trešajām personām, ir pietiekamas, lai radītu pamatu kompensācijas piedzīšanai, ja šīs bailes ar to negatīvajām sekām tiek pienācīgi pierādītas.

Lai pamatotu šo kompensāciju (izmantojot GDPR ziņas), nav nepieciešams pierādīt, ka šie dati faktiski ir tikuši nodoti trešajām personām.

Tiesa 20. jūnijā apvienotajās lietās C-182/22 un C-189/22 – Scalable Capital – arī lēma, ka Personas datu pārkāpuma radītais morālais kaitējums pēc savas būtības nav mazāk svarīgs nekā fiziskais kaitējums..

Turklāt, lai notikumu varētu klasificēt kā identitātes zādzību, trešajai personai ir jābūt faktiski ļaunprātīgi izmantotiem personas datiem.

Eiropas Cilvēktiesību tiesa 6. jūnija spriedumā (Bersheda un Rybolovlev pret Monako) lēma, ka izmeklēšanas tiesneša veiktās izmeklēšanas, izmantojot advokāta mobilo tālruni un masveida un nekritiska personas datu, tostarp datu, kurus iepriekš bija dzēsis pieteikuma iesniedzējs, atgūšana pārsniedza šī tiesneša jurisdikciju, un tai nebija pievienoti drošības pasākumi, lai nodrošinātu pieteikuma iesniedzēja kā jurista statusa un profesionālā noslēpuma ievērošanu.

Pilsoniskās sabiedrības un Eiropas iestādes, kas atbild par Digitālo pakalpojumu akta (DPA) īstenošanu, spiediena ietekmē LinkedIn no savas platformas ir noņēmis reklāmu mērķauditorijas atlasi, kuras pamatā ir lietotāju sensitīvi personas dati..

Šāda veida mērķauditorijas atlase tika uzskatīta par DSA pārkāpumu.

Uzņēmums Jūnija vidū Meta apstiprināja, ka pārtrauc savus plānus apmācīt savas mākslīgā intelekta sistēmas, izmantojot lietotāju datus ES un Apvienotajā Karalistē.

Projekts bija vērsts uz lietotāju datiem no Facebook, Instagram un Threads.

Šis lēmums seko Īrijas Datu aizsardzības komisijas rīcībai, kas rīkojas vairāku datu aizsardzības iestāžu visā ES un jo īpaši Hamburgas iestādes vārdā.

 

Ziņas no Eiropas dalībvalstīm.

Beļģijas APD 3. jūnijā uzņēmumam, kas nebija izpildījis pieprasījumu dzēst datus un turpināja sūtīt tiešā mārketinga e-pastus, piemēroja 172 000 eiro sodu.

Datu pārziņa argumentus, kuru mērķis bija vainas novelšana uz DAS, DAI neņēma vērā: datu pārziņa pienākums ir atbildēt uz piekļuves pieprasījumiem un nodrošināt, ka DAS ir pietiekami resursi.

GrieķijāAPD Iekšlietu ministrijai un Eiropas Parlamenta deputātam piemēroja attiecīgi 400 000 un 40 000 eiro naudas sodus par nevēlamas politiskas saziņas nosūtīšanu, Iekšlietu ministrijai sniedzot attiecīgo personu e-pasta adreses Eiropas Parlamenta deputātam.

Luksemburgā, APD uzskatīja, ka videonovērošanas izmantošana, lai pamatotu darbinieka atlaišanu, pārkāpj GDPR mērķa ierobežojuma principu, ja tā sākotnēji bija uzstādīta, lai nodrošinātu darbinieku drošību.

Nīderlandē Tiesa ir aizliegusi Microsoft, LinkedIn un Xandr ievietot izsekošanas sīkfailus trešo pušu tīmekļa vietnēs bez lietotāju piekrišanas un ir piespriedusi 1000 eiro naudas sodu katram uzņēmumam par katru lēmuma neievērošanas dienu.

Tiesa lēma, ka šīs platformas joprojām ir atbildīgas par derīgas piekrišanas iegūšanu, pat ja tās uztic šo iegūšanu trešo pušu tīmekļa vietnēm, kas integrē savas izsekošanas tehnoloģijas.

DānijāAPD izteica rājienu Kopenhāgenas pilsētai par to, ka tā nav novērsusi 37 500 neatļautu darbinieku potenciālu piekļuvi 3,7 miljonu cilvēku personas datiem.

Latvijas APD uzlika 1000 eiro naudas sodu uzņēmumam, kas piedāvāja fotografēšanas pakalpojumus atrakciju parkā.

Uzņēmums fotografēja apmeklētājus, pamatojoties uz netiešu piekrišanu, ko nevar uzskatīt par pozitīvu rīcību.

ItālijāAPD ir sodījusi uzņēmumu ar 100 000 eiro sodu par nelikumīgu tālruņa numuru apstrādi telemārketinga nolūkos.

APD uzskatīja, ka datu pārzinis nevar nodot savu atbildību un pienākumus saskaņā ar GDPR apakšuzņēmējam, izmantojot līguma klauzulu.

Zviedrijas oficiālā attīstības palīdzība (OAP) Avanza Bank AB tika sodīta ar 1 318 955,55 eiro (15 miljonu Zviedrijas kronu) naudas sodu par GDPR 5. panta (1) punkta (f) apakšpunkta un 32. panta pārkāpumu, jo nejauša divu Meta Pixel funkciju aktivizēšana izraisīja neatļautu personas datu pārsūtīšanu uz Meta Pixel.

Polijā OAP piesprieda uzņēmumam 54 600 eiro sodu pēc tam, kad USB atmiņas kartes, kurā atradās nešifrēti darbinieku dati, nozaudēšana izraisīja datu noplūdi.

13. jūnijā, NVO NOYB ir iesniegusi sūdzību Austrijas Datu aizsardzības iestādei (APD) par Google praksi attiecībā uz personas datu vākšanu, izmantojot tās "privātuma smilškastes" tehnoloģiju.

NVO norāda, ka kopš Google 2023. gada septembra paziņojuma par pakāpenisku trešo pušu sīkfailu noņemšanu no Chrome pārlūkprogrammas, lietotāji tiek pakāpeniski mudināti aktivizēt tā saukto "reklāmu privātuma funkciju", kas patiesībā ļautu Google tos izsekot.

4. jūnijā NOYB iesniedza sūdzību arī Austrijā pret Microsoft, kura pakalpojumi "365 Education" it kā pārkāpj bērnu datu aizsardzības tiesības.

Saskaņā ar NVO sniegto informāciju, kad skolēni vēlējās īstenot savas tiesības saskaņā ar GDPR, Microsoft paziņoja, ka skolas ir "atbildīgas" par viņu datiem, lai gan skolām nav nekādas kontroles pār Microsoft sistēmām.

Maija beigās asociācija “Eu Travel Tech” iesniedza sūdzību Francijas un Beļģijas datu aizsardzības iestādēm pret “Ryanair” saistībā ar nesen ieviesto prasību apstrādāt klientu biometriskos datus, lai piekļūtu rezervāciju pārvaldības un tiešsaistes reģistrācijas funkcijām.

Asociācija uzskata, ka šis biometriskās verifikācijas process pārkāpj GDPR likumības, taisnīguma un pārredzamības principus (izmantojot AFCDP).

 

ESAO 26. jūnijā publicēja ziņojums par mākslīgo intelektu, datu pārvaldību un privātuma aizsardzību.

Šajā ziņojumā ir pārskatītas nacionālās un reģionālās iniciatīvas un ieteiktas iespējamās sadarbības jomas.

Aicinot uz labāku starptautisko sadarbību, ziņojuma mērķis ir vadīt tādu mākslīgā intelekta sistēmu izstrādi, kas respektē un atbalsta privātumu.

ESAO 19. jūnijā arī publicēja darba dokuments ar nosaukumu “Ceļā uz bērnu digitālo drošību, kas integrēta viņu interesēs”.

Dokumentā galvenā uzmanība pievērsta darbībām, kas jāveic digitālo pakalpojumu sniedzējiem, un tajā ierosināti astoņi galvenie pasākumi, tostarp praktiski rīki, drošības kultūras veicināšanas pasākumi un kaitējuma mazināšanas stratēģijas.

Šos elementus ilustrē gadījumu izpētes, kas uzsver nepieciešamību pieņemt kontekstam pielāgotas pieejas.

Kalifornijas Privātuma aģentūra (CPPA) un CNIL ir parakstījušas sadarbības deklarāciju., 2024. gada 25. jūnijā Parīzē.

CNIL norāda, ka abas iestādes plāno apvienot savus centienus, lai stiprinātu Francijas un Kalifornijas pilsoņu personas datu aizsardzību.

Tiek ziņots, ka Nvidia (viens no vadošajiem pusvadītāju piegādātājiem mākslīgā intelekta skaitļošanai), Microsoft un OpenAI ir iesaistīti strīdā. Antimonopola izmeklēšana Amerikas Savienotajās Valstīs.

Saskaņā ar Politico ziņojumu, Tieslietu ministrija (DOJ) un Federālā tirdzniecības komisija (FTC) sadarbosies šajā jautājumā. DOJ koncentrēsies uz Nvidia, un FTC pārbaudīs Microsoft un OpenAI partnerību, lai noteiktu, vai tām ir negodīgas priekšrocības.

Japāna 12. jūnijā pieņēma likumu, kas ir līdzīgs Eiropas digitālo tirgu (DMA) regulai.

Tekstā būtu iekļauti “pienākumi nodrošināt sadarbspēju, pārredzamību un datu pārnesamību”.

Likums stāsies spēkā 2025. gada decembra beigās.

Amerikāņu uzņēmums Dropbox maija sākumā paziņoja, ka ir kļuvis par kiberuzbrukuma upuri..

Ļaunprātīgā ielaušanās skar tās drošo elektronisko dokumentu parakstīšanas platformu Dropbox Sign, agrāk HelloSign.

Nozagtie dati ietver vārdus, e-pasta adreses, šifrētas paroles, maksājumu informāciju un autentifikācijas informāciju.

Uzņēmums apgalvo, ka ir atiestatījis visu lietotāju paroles un atvienojis visas sesijas (izmantojot AFCDP).