Právny prehľad č. 72 – jún 2024.  

Komunikácia a marketing na sociálnych sieťach: aké sú pravidlá pre profesionálov?

Sociálne siete predstavujú súbor údajov, ktoré možno použiť na oslovenie potenciálnych zákazníkov.

Použitie týchto údajov, či už verejne dostupných na sociálnej sieti alebo prostredníctvom vytvorenia siete kontaktov, naďalej podlieha zákonu.

Musí byť v súlade so zásadami GDPR a európskej smernice o elektronických komunikáciách (smernica o ePrivacy).

Pravidlá sú odlišné, napríklad ak kontaktujete spoločnosť („B2B“) alebo fyzickú osobu („B2C“).

Očakávania ľudí sa budú líšiť aj v závislosti od toho, či existuje už existujúci vzťah: venujte osobitnú pozornosť zhromažďovaniu informácií o ľuďoch, ktorí nie sú súčasťou vašej siete kontaktov (napríklad zhromažďovanie mien potenciálnych zákazníkov v diskusných skupinách).

Je dôležité mať na pamäti tri základné zásady: transparentnosť, rešpektovanie práv dotknutých osôb a ústretovosť k ich žiadostiam.

• Poskytnite informácie o zhromaždených údajoch.

Odporúča sa:

• Predvídať účinky online komunikačnej operácie, ako je napríklad e-mailová kampaň, pridaním poznámky na koniec správy, ktorá vysvetľuje najmä pôvod údajov a účel komunikácie.
• Poskytnúť článok alebo funkčný odkaz, ktorý vedie na informačnú stránku o prevádzkovateľovi údajov a právach jednotlivcov.
• Ponúkať jednoduchý kontaktný prostriedok (vyhradený e-mail, kontaktný formulár alebo súkromná správa na sociálnych sieťach) na umožnenie žiadostí o prístup k údajom, ich opravu alebo vymazanie.
• Rešpektujte práva jednotlivcov a v prípade potreby si vyžiadajte ich súhlas.

Niektoré techniky vyhľadávania môžu byť rušivejšie ako iné.

Napríklad na LinkedIn umožňuje InMail (za poplatok) posielať správy priamo do doručenej pošty ľubovoľného používateľa, ktorý nie je členom vašej siete kontaktov.

Niektoré marketingové softvéry umožňujú aj import kontaktov (vrátane profilov a fotografií) zo sociálnych sietí, ako sú LinkedIn, Facebook, Twitter, Viadeo, YouTube alebo Klout, na ďalšie spracovanie.

Tieto techniky vyhľadávania zákazníkov musia byť v súlade s pravidlami e-mailového marketingu, ako ich stanovuje GDPR a smernica o súkromí a elektronických komunikáciách.

Preto sa pripomínajú nasledujúce zásady:

• Súlad s požiadavkou na súhlas alebo získanie predchádzajúceho súhlasu od príjemcu reklamy: to platí pre zasielanie reklamy „B2C“ prostredníctvom e-mailu, SMS, MMS, automatizovaného volania alebo faxu.
• Rešpektovanie možnosti odhlásenia, ktorá umožňuje zasielanie ponúk, ak príjemca reklamy voči nemu nenamietal: to platí pre reklamu „B2B“ zasielanú e-mailom a reklamu „B2C“ zasielanú poštou alebo telefonicky.
• Organizovať správu žiadostí od dotknutých osôb.

To zahŕňa plánovanie:

• Typická reakcia na používateľov internetu, ktorí napríklad uplatňujú svoje právo namietať a/alebo žiadať o prístup k svojim údajom.
• Interný postup na čo najrýchlejšie spracovanie týchto žiadostí, pričom štandardná lehota stanovená v GDPR je jeden mesiac.

Reakcia a účinnosť reakcie je dôležitá, pretože prispieva k online reputácii prevádzkovateľa.

 

Francúzsky úrad na ochranu údajov (CNIL) oznámil, že bude vykonávať kontroly v súvislosti s olympijskými a paralympijskými hrami. s cieľom zaručiť rešpektovanie súkromia divákov.

Zameria sa najmä na „rozšírené“ kamerové zariadenia, QR kódy pre obmedzené oblasti, služby predaja lístkov a údaje o dobrovoľníkoch.

CNIL zaznamenala po voľbách do Európskeho parlamentu 167 hlásení o porušeniach GDPR.

V kontexte predčasných parlamentných volieb pripomína politickým stranám pravidlá, ktoré treba dodržiavať, a informuje ich, že bude vykonávať kontroly na základe počtu a povahy správ, ktoré budú doručené v súvislosti s voľbami.

Po zverejnení praktických príručiek v apríli minulého roka, CNIL 10. júna zverejnila druhú sériu informačných listov a dotazník venovaný regulácii vývoja systémov umelej inteligencie (AI).

 Tieto nové nástroje majú pomôcť odborníkom zosúladiť inovácie s rešpektovaním práv ľudí a zameriavajú sa najmä na právny základ oprávneného záujmu, transparentnosť, práva ľudí, anotáciu údajov a bezpečnosť vývoja systému umelej inteligencie.

Informačné listy sú otvorené na verejnú konzultáciu do 1. septembra 2024.

CNIL nakoniec skúma v štúdii publikovanej 4. júla vývoj alternatív k technikám sledovania prostredníctvom súborov cookie tretích strán a o ich dôsledkoch (pozri aj nižšie otázky, ktoré vyvolal „sandbox na ochranu súkromia“ spoločnosti Google).

 

Európske inštitúcie a orgány

Európska komisia 1. júla informovala spoločnosť Meta o svojich predbežných zisteniach, že jej reklamný model „platba alebo súhlas“ nie je v súlade so zákonom o digitálnych trhoch. (DMA, článok 5 odsek 2).

Tieto zistenia potvrdzujú zistenia, ktoré zverejnil Európsky výbor pre ochranu údajov (EDPB) v apríli minulého roka.

Podľa Komisie táto binárna voľba núti používateľov súhlasiť s kombináciou svojich osobných údajov a neposkytuje im menej personalizovanú, ale rovnocennú verziu sociálnych sietí spoločnosti Meta.

Tieto predbežné zistenia nepredurčujú výsledok vyšetrovania.

Meta má teraz možnosť uplatniť si svoje právo na obhajobu a písomne odpovedať.

Komisia ukončí svoje vyšetrovanie do 12 mesiacov od začatia konania, teda 25. marca 2024.

Ak by sa predbežné zistenia Komisie nakoniec potvrdili, Komisia by mohla uložiť pokuty až do výšky 10 tantiém z celkového celosvetového obratu spoločnosti Meta a 20 tantiém v prípade opakovaného porušenia.

V súlade s nariadením o riadení údajov (DGA) Európska komisia zverejnila zoznam prvých „sprostredkovateľov údajov“, ktorých jej oznámili členské štáty.

Sprostredkovatelia údajov fungujú ako neutrálne tretie strany, ktoré spájajú jednotlivcov a firmy s používateľmi údajov.

Zaregistrovaných bolo päť spoločností, z ktorých tri sú vo Francúzsku: AGDATAHUB, Hub One DataTrust a M-ITRUST. Ďalšie dve boli oznámené Fínskom a Maďarskom (prostredníctvom AFCDP).

EDPB spustila projekt „AI Auditing“ 27. júna : cieľom je pomôcť orgánom na ochranu údajov (DPA) kontrolovať systémy umelej inteligencie definovaním metodiky vo forme kontrolného zoznamu na audit algoritmu a návrhom nástrojov, ktoré by zlepšili ich transparentnosť.

Európsky dozorný úradník pre ochranu údajov (EDPS) zverejnil 3. júna svoje usmernenia o „generatívnej umelej inteligencii a ochrane osobných údajov“. s cieľom poskytnúť inštitúciám, orgánom, úradom a agentúram EÚ praktické rady a pokyny týkajúce sa spracovania osobných údajov pri používaní generatívnych systémov umelej inteligencie a uľahčiť im dodržiavanie požiadaviek právneho rámca pre ochranu údajov.

Medzinárodná pracovná skupina pre ochranu údajov v technológiách (IWGDPT) prijala 5. júna pracovný dokument o technológii rozpoznávania tváre.

Dokument opisuje možnosti použitia v súkromnom aj verejnom sektore a predstavuje riziká aj praktické odporúčania pre aplikáciu, ktorá je v súlade s ochranou údajov.

Súdny dvor Európskej únie (SDEÚ) 20. júna vo veci C-590/22 rozhodol, že Obava dotknutej osoby, že jej osobné údaje boli zverejnené tretím stranám, je postačujúca na to, aby vznikla náhrada škody, ak sa táto obava s jej negatívnymi dôsledkami riadne preukáže.

Na odôvodnenie tejto kompenzácie (prostredníctvom noviniek o GDPR) nie je potrebné preukázať, že tieto údaje boli skutočne poskytnuté tretím stranám.

Súdny dvor 20. júna v spojených veciach C 182/22 a C 189/22 – Scalable Capital tiež zvážil, že Morálna ujma spôsobená porušením ochrany osobných údajov nie je svojou povahou menej dôležitá ako fyzická ujma..

Okrem toho, aby sa udalosť klasifikovala ako krádež identity, osobné údaje museli byť skutočne zneužité treťou stranou.

V rozsudku zo 6. júna (Bersheda a Rybolovlev proti Monaku) Európsky súd pre ľudské práva rozhodol, že vyšetrovania vykonávané vyšetrujúcim sudcom na mobilnom telefóne právnika a masívne a nerozlišujúce získavanie osobných údajov – vrátane údajov, ktoré predtým žiadateľ vymazal – prekročilo právomoc tohto sudcu a nebolo sprevádzané zárukami na zabezpečenie rešpektovania postavenia a profesionálneho tajomstva žiadateľa ako advokáta.

Pod tlakom občianskej spoločnosti a európskeho orgánu zodpovedného za implementáciu zákona o digitálnych službách (DSA), LinkedIn odstránil zo svojej platformy cielenú reklamu na základe citlivých osobných údajov používateľov..

Tento typ zacielenia bol považovaný za porušenie zákona DSA.

Spoločnosť Spoločnosť Meta v polovici júna potvrdila, že pozastavuje svoje plány na trénovanie svojich systémov umelej inteligencie pomocou používateľských údajov v EÚ a Spojenom kráľovstve.

Projekt sa zameral na používateľské dáta z Facebooku, Instagramu a Threads.

Toto rozhodnutie nasleduje po kroku Írskej komisie pre ochranu údajov, ktorá koná v mene viacerých orgánov pre ochranu údajov v celej EÚ, a najmä úradu v Hamburgu.

 

Správy z členských krajín Európy.

Belgická APD uložil 3. júna pokutu vo výške 172 000 eur spoločnosti, ktorá nevyhovela žiadosti o vymazanie údajov a pokračovala v odosielaní e-mailov s priamym marketingom.

Argumenty prevádzkovateľa údajov zamerané na presunutie viny na zodpovednú osobu (DPO) DPA nezohľadnil: je zodpovednosťou prevádzkovateľa údajov reagovať na žiadosti o prístup a zabezpečiť, aby DPO mala dostatočné zdroje.

V GréckuAPD uložila ministerstvu vnútra a poslancovi Európskeho parlamentu pokuty vo výške 400 000 a 40 000 eur za zasielanie nevyžiadanej politickej komunikácie, pričom e-mailové adresy dotknutých osôb poskytlo poslancovi Európskeho parlamentu ministerstvo vnútra.

V Luxembursku, APD usúdil, že použitie kamerového systému na odôvodnenie prepustenia zamestnanca porušuje zásadu obmedzenia účelu podľa GDPR, ak bol pôvodne nainštalovaný na zaistenie bezpečnosti zamestnancov.

V Holandsku, Súd zakázal spoločnostiam Microsoft, LinkedIn a Xandr umiestňovať sledovacie súbory cookie na webové stránky tretích strán bez súhlasu používateľa a uložil spoločnosti pokutu 1 000 eur za každý deň nedodržania rozhodnutia.

Súd rozhodol, že tieto platformy zostávajú zodpovedné za zhromažďovanie platného súhlasu, a to aj v prípade, že toto zhromažďovanie zveria webovým stránkam tretích strán, ktoré integrujú ich technológie sledovania.

V DánskuAPD pokarhala mesto Kodaň za to, že nezabránilo potenciálnemu prístupu 37 500 neoprávnených zamestnancov k osobným údajom 3,7 milióna ľudí.

Lotyšská APD uložil pokutu 1 000 eur spoločnosti ponúkajúcej fotografické služby v zábavnom parku.

Spoločnosť fotografovala návštevníkov na základe implicitného súhlasu, čo sa nedalo považovať za pozitívny čin.

V TalianskuAPD uložil spoločnosti pokutu 100 000 eur za nezákonné spracovanie telefónnych čísel na účely telemarketingu.

APD sa domnieval, že prevádzkovateľ údajov nemôže preniesť svoju zodpovednosť a povinnosti podľa GDPR na subdodávateľa prostredníctvom zmluvnej doložky.

Švédska oficiálna rozvojová pomoc Banka Avanza Bank AB dostala pokutu 1 318 955,55 eur (15 miliónov SEK) za porušenie článku 5(1)(f) a článku 32 GDPR, pričom náhodná aktivácia dvoch funkcií Meta Pixel viedla k neoprávnenému prenosu osobných údajov do Meta Pixel.

V Poľsku, ODA uložil spoločnosti pokutu 54 600 eur po tom, čo strata USB kľúča obsahujúceho nešifrované údaje zamestnancov viedla k úniku údajov.

13. júna Mimovládna organizácia NOYB podala sťažnosť na rakúsky úrad pre ochranu údajov (APD) proti praktikám spoločnosti Google týkajúcim sa zhromažďovania osobných údajov prostredníctvom jej „sandboxu na ochranu osobných údajov“.

Mimovládna organizácia poukazuje na to, že odkedy spoločnosť Google v septembri 2023 oznámila, že postupne odstráni súbory cookie tretích strán zo svojho prehliadača Chrome, používatelia sú postupne povzbudzovaní k aktivácii takzvanej „funkcie ochrany osobných údajov pri reklamách“, ktorá by v skutočnosti spoločnosti Google umožnila ich sledovať.

NOYB 4. júna podala v Rakúsku sťažnosť aj na spoločnosť Microsoft, ktorej služby „365 Education“ údajne porušujú práva detí na ochranu údajov.

Podľa mimovládnej organizácie, keď si študenti chceli uplatniť svoje práva podľa GDPR, spoločnosť Microsoft uviedla, že školy sú „zodpovedné“ za ich údaje, hoci školy nemajú žiadnu kontrolu nad systémami spoločnosti Microsoft.

Združenie Eu Travel Tech podalo koncom mája sťažnosť francúzskym a belgickým orgánom na ochranu údajov na spoločnosť Ryanair v súvislosti s jej nedávnym zavedením požiadavky na spracovanie biometrických údajov zákazníkov na prístup k funkciám správy rezervácií a online check-inu.

Združenie sa domnieva, že tento proces biometrického overovania porušuje zásady zákonnosti, spravodlivosti a transparentnosti GDPR (prostredníctvom AFCDP).

 

OECD zverejnila 26. júna správa o umelej inteligencii, správe údajov a ochrane súkromia.

Táto správa skúma národné a regionálne iniciatívy a navrhuje potenciálne oblasti spolupráce.

Správa sa zasadzuje za lepšiu medzinárodnú spoluprácu a jej cieľom je usmerniť vývoj systémov umelej inteligencie, ktoré rešpektujú a podporujú súkromie.

OECD tiež 19. júna zverejnila pracovný dokument s názvom „Smerom k digitálnej bezpečnosti detí už v štádiu návrhu“.

Dokument sa zameriava na opatrenia, ktoré majú prijať poskytovatelia digitálnych služieb, a navrhuje osem kľúčových opatrení vrátane praktických nástrojov, opatrení na podporu kultúry bezpečnosti a stratégií na zmiernenie škôd.

Tieto prvky sú ilustrované prípadovými štúdiami, ktoré zdôrazňujú potrebu prijať prístupy prispôsobené kontextu.

Kalifornská agentúra na ochranu súkromia (CPPA) a CNIL podpísali vyhlásenie o spolupráci., 25. júna 2024 v Paríži.

CNIL uvádza, že tieto dva orgány majú v úmysle spojiť svoje úsilie s cieľom posilniť ochranu osobných údajov francúzskych a kalifornských občanov.

Nvidia (jeden z popredných dodávateľov polovodičov pre umelú inteligenciu), Microsoft a OpenAI sú údajne predmetom sporu. antimonopolné vyšetrovanie v Spojených štátoch.

Podľa správy denníka Politico budú Ministerstvo spravodlivosti (DOJ) a Federálna obchodná komisia (FTC) v tejto otázke spolupracovať. Ministerstvo spravodlivosti sa zameria na spoločnosť Nvidia a FTC preskúma partnerstvo medzi spoločnosťami Microsoft a OpenAI, aby zistila, či majú nekalú výhodu.

Japonsko 12. júna prijalo zákon podobný európskemu nariadeniu o digitálnych trhoch (DMA).

Text by obsahoval „povinnosti zabezpečiť interoperabilitu, transparentnosť a prenosnosť údajov“.

Zákon nadobudne účinnosť koncom decembra 2025.

Americká spoločnosť Dropbox začiatkom mája oznámil, že sa stal obeťou kybernetického útoku..

Škodlivý útok sa týka jeho platformy pre zabezpečený elektronický podpis dokumentov Dropbox Sign, predtým HelloSign.

Ukradnuté údaje zahŕňajú mená, e-mailové adresy, šifrované heslá, platobné informácie a overovacie informácie.

Spoločnosť tvrdí, že resetovala heslá všetkých používateľov a odpojila všetky relácie (prostredníctvom AFCDP).