Analýza publika pre lepšiu komunikáciu... aké sú pravidlá?

Právne upozornenie č. 49 – Júl 2022

Analýza publika pre lepšiu komunikáciu... aké sú pravidlá? Médiá a sociálne siete dnes umožňujú firmám analyzovať svoje publikum, aby sa naň lepšie zamerali, zlepšili si imidž a prispôsobili si marketingovú stratégiu.

Preto je možné a čoraz bežnejšie obrátiť sa na spoločnosť zaoberajúcu sa „monitorovaním sociálnych médií“, ktorá prehľadá web, bude sledovať najrelevantnejšie konverzácie na sociálnych sieťach a poskytovať svojim klientom správy a analýzy prispôsobené ich potrebám.

Hoci sú takto analyzované údaje verejné, často ide o osobné údaje, ktoré zostávajú chránené GDPR, či už ide o influencerov, novinárov alebo iné osoby aktívne na sociálnych sieťach.

Kto musí tieto povinnosti dodržiavať?

Pri uzatváraní zmluvy s externým partnerom na posúdenie toho, ako je klient vnímaný na sociálnych sieťach, sa spoločnosť klienta považuje za prevádzkovateľa údajov pre zmluvnú službu a spoločnosť monitorujúca médiá je subdodávateľom.

Dôsledky sú významné, pretože zahŕňajú zodpovednosť za to, ako sa údaje zo sociálnych médií zhromažďujú, spracovávajú a uchovávajú.

Preto je vhodné pri uzatváraní takejto zmluvy skontrolovať niekoľko prvkov, aby sa zabezpečilo, že postupy spoločnosti vykonávajúcej „monitorovanie médií“ sú v súlade s GDPR:

• Kde sa spoločnosť nachádza?

Ak má spoločnosť sídlo mimo EÚ, je dôležité overiť si platné právne predpisy, najmä ak spoločnosť nesídli v krajine, ktorá ponúka primeranú úroveň ochrany.

V tomto prípade bude musieť použiť špecifické záruky na zabezpečenie ochrany údajov, najčastejšie štandardné zmluvné doložky.

• Poskytuje spoločnosť meno a kontaktné údaje svojej zodpovednej osoby za ochranu údajov?

• Zverejňuje svoje zásady ochrany osobných údajov na svojej webovej stránke alebo ich možno sprístupniť na požiadanie?

Upozorňujeme, že je potrebné rozlišovať medzi zásadami ochrany údajov pre webovú stránku a zásadami spracovania údajov pre služby monitorovania médií.

• Sú v tomto dokumente a/alebo zmluve uvedené nasledujúce údaje?

• Príslušné úlohy ako subdodávateľa alebo prevádzkovateľa údajov, rozsah zodpovedností každej osoby;

• Podmienky zhromažďovania osobných údajov, zdroj údajov, typy zhromažďovaných údajov a miesto ich uchovávania, spôsob agregácie alebo pseudonymizácie týchto údajov, ak je to relevantné;

• Právny základ;

• Doba uchovávania údajov;

• Bezpečnostné a dôverné opatrenia;

• Prenos údajov mimo EÚ;

• Informácie pre dotknuté osoby a spôsoby uplatňovania ich práv.

Najlepšie je dôverovať spoločnostiam, ktoré poskytujú najpodrobnejšie informácie o týchto rôznych prvkoch.

To nezbavuje klientsku spoločnosť povinnosti prijať dodatočné opatrenia ako prevádzkovateľ údajov.

Pokiaľ ide najmä o informovanie dotknutých osôb, možno sa domnievať, že priame informovanie si vyžaduje neprimerané úsilie.

K zásadám ochrany údajov webovej stránky však možno pridať informačné oznámenie, ktoré informuje verejnosť vo všeobecnosti o vykonaných analýzach publika, špecifikuje rôzne povinnosti a práva a odkazuje na webovú stránku externého partnera, kde sa nachádzajú ďalšie podrobnosti.

A tiež

Francúzsko:

CNIL zverejnila svoje stanovisko k rozšíreným kamerám 19. júla. a vyzýva na celkové zamyslenie sa nad správnym používaním týchto nástrojov vo verejných priestoroch.

Komisia poukazuje na riziko rozsiahleho sledovania a analýzy, ktoré by v reakcii na to mohli zmeniť správanie ľudí kráčajúcich po ulici alebo chodiacich do obchodov.

Poukazuje na to, že francúzske právo nepovoľuje verejným orgánom používať rozšírené kamery na odhaľovanie a stíhanie trestných činov, a domnieva sa, že je potrebné stanoviť hranice, ktoré zakazujú používanie týchto kamier na účely „hodnotenia“ ľudí.

Dňa 26. júla CNIL zverejnila odporúčania týkajúce sa kontroly veku na webových stránkach: Vyzýva na vývoj účinnejších a súkromne orientovaných riešení, s odkazom na používanie bankových kariet a rozpoznávanie tváre.

Taktiež podporuje rozvoj úlohy dôveryhodných tretích strán.

CNIL tiež 21. júla uložila spoločnosti Ubeeqo International pokutu vo výške 175 000 eur. požičovňu áut, najmä za to, že spôsobila neprimerané narušenie súkromia svojich zákazníkov tým, že ich takmer trvalo geolokalizovala.

Európa:

Európsky parlament 5. júla veľkou väčšinou prijal dve európske nariadenia o digitálnych trhoch a digitálnych službách (DMA a DSA).

Rada v júli tiež definitívne schválila DMA, zatiaľ čo DSA by mala byť schválená v novembri.

Komisia už zvažuje vytvorenie špecializovaného oddelenia, ktoré by zabezpečilo dodržiavanie zákona o prístupe k dátam (DMA) digitálnymi gigantmi.

Európsky výbor pre ochranu údajov (EDPB) reagoval na zhromažďovanie osobných údajov spoločnosťou TikTok listom z 28. júla adresovaným niekoľkým mimovládnym organizáciám.

Zdôrazňuje rýchle kroky, ktoré prijali írske, talianske a španielske dozorné orgány po oznámení TikToku, že už nebude vyžadovať súhlas používateľov so zasielaním personalizovaných reklám (právny základ sa stal oprávneným záujmom TikToku a jeho partnerov).

V nadväznosti na tieto kroky TikTok oznámil, že pozastavuje túto zmenu právneho základu.

Výbor tiež zaujal stanovisko s európskym dozorným úradníkom pre ochranu údajov (EDPS) k navrhovanému nariadeniu o predchádzaní sexuálnemu zneužívaniu detí a boji proti nemu.

Cieľom návrhu je uložiť rôznym webovým službám povinnosti týkajúce sa odhaľovania, nahlasovania, odstraňovania a blokovania online materiálu zobrazujúceho sexuálne zneužívanie detí (CSAM) a navádzania detí.

Dozorné orgány pripomínajú, že tieto trestné činy považujú za obzvlášť závažné a ohavné, no zároveň poznamenávajú, že rušivý charakter návrhu v jeho súčasnej podobe môže predstavovať väčšie riziko pre jednotlivcov a v širšom zmysle pre spoločnosť ako celok, než pre páchateľov trestného činu stíhaných CSAM.

EDPB a EDPS vydali svoje stanovisko k návrhu Európskej komisie týkajúcemu sa Európskeho priestoru zdravotníckych údajov (EHDS).

Cieľom návrhu je vytvoriť „Európsku zdravotnú úniu“ „plným využitím potenciálu, ktorý ponúka bezpečná výmena, používanie a opätovné použitie zdravotných údajov“.

Stanovisko zdôrazňuje najmä riziká spojené so sekundárnym využitím elektronických zdravotných údajov, ktoré môže priniesť výhody pre verejné blaho, ale nie je bez rizika pre práva a slobody jednotlivcov.

EDPB zverejnila svoje stanovisko k transferom do Ruska 12. júla.

Výbor sa nevyjadruje k vývoju úrovne ochrany údajov v tejto krajine od začiatku vojny, ale poukazuje na to, že prenosy musia byť predmetom analýzy vplyvu v každom jednotlivom prípade.

Súdny dvor Európskej únie zverejnil 1. augusta dôležitý rozsudok týkajúci sa rozsahu ochrany citlivých údajov.

Pojem „osobitné kategórie“ osobných údajov by sa mal vykladať široko, najmä s cieľom zabezpečiť dosiahnutie cieľa článku 9 ods. 1 GDPR.

Predmetný litovský zákon týkajúci sa predchádzania konfliktu záujmov a korupcie vyžadoval zverejnenie mena partnera verejného činiteľa.

Súd zistil, že tieto informácie by mohli odhaliť informácie o sexuálnom živote alebo orientácii policajta a jeho partnerky.

V Nórsku začal úrad na ochranu údajov spolupracovať s odborovými zväzmi na monitorovaní kamerového dohľadu na pracovisku.

Odvolací výbor úradu ďalej súhlasil s tým, že nadobúdajúca spoločnosť preberá zodpovednosť za prevádzkovateľa údajov pred akvizíciou, a potvrdila rozhodnutie udeliť jej pokutu vo výške približne 12 000 EUR za nezákonné kreditné skóre v rozpore s článkom 6(1) GDPR (prostredníctvom GDPRhub)

Dolnosaský úrad na ochranu údajov udelil spoločnosti Volkswagen pokutu vo výške jedného milióna eur za porušenie ochrany údajov pri používaní testovacieho vozidla s kamerami. určené na zlepšenie asistenčných systémov pre vodičov a systémov prevencie nehôd.

Testovacie vozidlo bolo jazdené bez akýchkoľvek viditeľných informácií v zábere kamier.

Dánsky úrad pre ochranu údajov pokarhal Úrad pre zdravotné údaje za to, že neotestoval svoju databázu liekov. na odhalenie chýb v architektúre služieb, ktoré viedli k úniku údajov, ktorý postihol 267 jednotlivcov (prostredníctvom GDPRhub).

Agentúra DPA tiež pokarhala obec Helsingør za používanie Chromebookov od spoločnosti Google a platformy „Google Workspace for Education“ na základných školách.

Toto spracovanie zakázala, kým nebude v súlade s GDPR, a pozastavila všetky súvisiace prenosy údajov do Spojených štátov (prostredníctvom GDPRhub).

V súvislosti s tým, v Holandsku sú študenti a zamestnanci teraz presmerovávaní na vyhľadávanie na internete na DuckDuckGo namiesto vyhľadávania Google.

Slovinský úrad na ochranu údajov preklasifikoval dohodu medzi poskytovateľom cloudových služieb a jeho zákazníkmi: zistil, že neexistoval vzťah prevádzkovateľ/spracovateľ, ale skôr spoločná zodpovednosť., keďže obe strany sa rozhodli o účeloch a prostriedkoch spracovania (prostredníctvom GDPRhub)

Bádensko-württemberská komora pre verejné obstarávanie poznamenáva, že prenos osobných údajov do tretej krajiny (mimo EÚ) je podľa GDPR neprípustný., a to aj v prípade, že príslušný server prevádzkuje spoločnosť so sídlom v EÚ, pokiaľ je súčasťou americkej skupiny.

Medzinárodné:

Mimovládna organizácia Data Rights a jej kenské partnerské organizácie, Keňská komisia pre ľudské práva a Núbijské fórum pre práva, žalujú spoločnosť IDEMIA, poprednú francúzsku spoločnosť zaoberajúcu sa biometrickými technológiami, na parížskom súde..

Tieto organizácie obviňujú IDEMIA z toho, že vo svojom pláne ostražitosti týkajúcom sa zhromažďovania biometrických údajov od obyvateľstva na účely vývoja národného systému digitálnej identifikácie v Keni nezohľadnila ľudské práva.

Denník Daily Mail z 13. júla rozoberá používanie umelej inteligencie v Číne na „zlepšenie“ fungovania súdov: Počítače by opravovali vnímané ľudské chyby vo verdikte a vyžadovali by od sudcov, aby predložili stroju písomné vysvetlenie, ak by nesúhlasili s opravami umelej inteligencie.

Británia a Spojené štáty začnú v októbri zdieľať údaje súvisiace s vyšetrovaniami orgánov činných v trestnom konaní v rámci dohody CLOUD medzi týmito dvoma krajinami.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.