Pravna ura št. 72 – junij 2024.  

Komunikacija in trženje na družbenih omrežjih: kakšna so pravila za profesionalce?

Družbena omrežja predstavljajo zbirko podatkov, ki jih je mogoče uporabiti za ciljanje potencialnih strank.

Uporaba teh podatkov, ne glede na to, ali so javno dostopni na družbenih omrežjih ali prek ustvarjanja mreže stikov, ostaja predmet zakona.

Skladna mora biti z načeli GDPR in evropske direktive o elektronskih komunikacijah (direktiva o e-zasebnosti).

Pravila so drugačna, na primer, če se obrnete na podjetje („B2B“) ali fizično osebo („B2C“).

Pričakovanja ljudi se bodo razlikovala tudi glede na to, ali obstaja že obstoječe razmerje: bodite še posebej pozorni na zbiranje informacij o ljudeh, ki niso del vaše mreže stikov (na primer zbiranje imen potencialnih strank v diskusijskih skupinah).

Pomembno je upoštevati tri bistvena načela: preglednost, spoštovanje pravic zadevnih ljudi in odzivnost na njihove zahteve.

• Navedite informacije o zbranih podatkih.

Priporočljivo je:

• Predvidevanje učinkov spletne komunikacijske operacije, kot je e-poštna kampanja, z dodajanjem opombe na koncu sporočila, ki pojasnjuje zlasti izvor podatkov in namen komunikacije.
• Zagotoviti članek ali funkcionalno povezavo, ki vodi do informativne strani o upravljavcu podatkov in pravicah posameznikov.
• Ponuditi preprost način stika (namenski e-poštni naslov, kontaktni obrazec ali zasebno sporočilo na družbenih omrežjih), ki omogoča zahteve za dostop, popravek ali izbris podatkov.
• Spoštujte pravice posameznikov in po potrebi pridobite njihovo soglasje.

Nekatere tehnike iskanja potencialnih strank so lahko bolj vsiljive kot druge.

Na LinkedInu na primer InMail omogoča (za plačilo) pošiljanje sporočil neposredno v mapo »Prejeto« katerega koli uporabnika, ki ni član vašega omrežja stikov.

Nekatera programska oprema za trženje omogoča tudi uvoz stikov (vključno s profili in fotografijami) iz družbenih omrežij, kot so LinkedIn, Facebook, Twitter, Viadeo, YouTube ali Klout, za nadaljnjo obdelavo.

Te tehnike iskanja potencialnih strank morajo biti skladne s pravili e-poštnega trženja, kot jih določata GDPR in Direktiva o e-zasebnosti.

Zato je treba opozoriti na naslednja načela:

• Skladnost z zahtevo po predhodni prijavi ali pridobitvi predhodnega soglasja prejemnika oglasa: to velja za pošiljanje oglasov »B2C« po e-pošti, SMS-u, MMS-u, avtomatiziranih klicih ali faksu.
• Spoštovanje pravice do zavrnitve prejemanja, ki omogoča pošiljanje prošenj, kadar prejemnik oglasa temu ni nasprotoval: to velja za oglaševanje »B2B«, poslano po e-pošti, in oglaševanje »B2C«, poslano po pošti ali telefonu.
• Organizirajte upravljanje zahtevkov zadevnih oseb.

To vključuje načrtovanje za:

• Tipičen odgovor uporabnikom interneta, ki na primer uveljavljajo svojo pravico do ugovora in/ali zahtevajo dostop do svojih podatkov.
• Notranji postopek za čim hitrejšo obdelavo teh zahtev, pri čemer je standardni rok, ki ga določa GDPR, en mesec.

Odzivnost in učinkovitost odziva sta pomembni, saj prispevata k spletnemu ugledu upravljavca podatkov.

 

Francoski organ za varstvo podatkov (CNIL) je napovedal, da bo izvajal preverjanja v zvezi z olimpijskimi in paraolimpijskimi igrami. da bi zagotovili spoštovanje zasebnosti gledalcev.

Osredotočil se bo zlasti na "izboljšane" kamere, QR kode za omejena območja, storitve prodaje vstopnic in podatke prostovoljcev.

CNIL je po evropskih volitvah zabeležil 167 poročil o kršitvah GDPR.

Politične stranke v okviru predčasnih zakonodajnih volitev opominja na pravila, ki jih je treba spoštovati, in jih obvešča, da bo izvajal preverjanja na podlagi števila in narave poročil, ki bodo prejeta v okviru volitev.

Po objavi praktičnih vodnikov aprila lani, CNIL je 10. junija objavil drugo serijo informativnih listov in vprašalnik, posvečen regulaciji razvoja sistemov umetne inteligence (UI).

 Ta nova orodja so namenjena pomoči strokovnjakom pri usklajevanju inovacij s spoštovanjem pravic ljudi, pri čemer se osredotočajo zlasti na pravno podlago legitimnega interesa, preglednost, pravice ljudi, označevanje podatkov in varnost razvoja sistema umetne inteligence.

Informativni listi so na voljo za javno razpravo do 1. septembra 2024.

Končno, CNIL preučuje v študiji, objavljeni 4. julija razvoj alternativ tehnikam sledenja prek piškotkov tretjih oseb in o njihovih posledicah (glej tudi spodaj vprašanja, ki jih je sprožil Googlov »peskovnik zasebnosti«).

 

Evropske institucije in organi

Evropska komisija je 1. julija obvestila Meto o svojih predhodnih ugotovitvah, da njen model oglaševanja »plačilo ali soglasje« ni v skladu z zakonom o digitalnih trgih. (DMA, člen 5, odstavek 2).

Te ugotovitve potrjujejo ugotovitve, ki jih je aprila lani objavil Evropski odbor za varstvo podatkov (EDPB).

Po mnenju Komisije ta binarna izbira uporabnike sili k soglasju za združitev njihovih osebnih podatkov in jim ne zagotavlja manj personalizirane, a enakovredne različice družbenih omrežij Meta.

Te predhodne ugotovitve ne prejudicirajo izida preiskave.

Meta ima zdaj možnost uveljaviti svojo pravico do obrambe in odgovoriti pisno.

Komisija bo preiskavo zaključila v 12 mesecih od začetka postopka, 25. marca 2024.

Če bi se predhodne ugotovitve Komisije dokončno potrdile, bi lahko Komisija naložila globe v višini do 10 tonal skupnega svetovnega prometa družbe Meta in 20 tonal v primeru ponavljajočih se kršitev.

Evropska komisija je v skladu z uredbo o upravljanju podatkov objavila seznam prvih „posrednikov podatkov“, o katerih so jo obvestile države članice.

Posredniki podatkov delujejo kot nevtralne tretje osebe, ki povezujejo posameznike in podjetja z uporabniki podatkov.

Registriranih je bilo pet podjetij, od katerih so tri v Franciji: AGDATAHUB, Hub One DataTrust in M-ITRUST. Drugi dve sta priglasili Finska in Madžarska (prek AFCDP).

Evropski odbor za varstvo podatkov (EDPB) je 27. junija začel projekt »Revizija umetne inteligence«. : cilj tega je pomagati organom za varstvo podatkov (DPA) pri pregledovanju sistemov umetne inteligence z opredelitvijo metodologije v obliki kontrolnega seznama za revizijo algoritma in predlaganjem orodij, ki bi izboljšala njihovo preglednost.

Evropski nadzornik za varstvo podatkov (EDPS) je 3. junija objavil smernice o "generativni umetni inteligenci in varstvu osebnih podatkov". da bi institucijam, organom, uradom in agencijam EU zagotovili praktične nasvete in navodila o obdelavi osebnih podatkov pri uporabi generativnih sistemov umetne inteligence ter olajšali njihovo skladnost z zahtevami pravnega okvira za varstvo podatkov.

Mednarodna delovna skupina za varstvo podatkov v tehnologiji (IWGDPT) je 5. junija sprejela delovni dokument o tehnologiji prepoznavanja obrazov.

Dokument opisuje možnosti uporabe v zasebnem in javnem sektorju ter predstavlja tako tveganja kot praktična priporočila za uporabo, ki je skladna z varstvom podatkov.

Sodišče Evropske unije (SEU) je 20. junija v zadevi C-590/22 razsodilo, da Strah posameznika, na katerega se nanašajo osebni podatki, da so bili njegovi osebni podatki razkriti tretjim osebam, je zadosten za odškodnino, če se ta strah z njegovimi negativnimi posledicami ustrezno dokaže.

Za utemeljitev tega nadomestila (prek novic o GDPR) ni treba dokazati, da so bili ti podatki dejansko posredovani tretjim osebam.

Sodišče je 20. junija v združenih zadevah C 182/22 in C 189/22 – Scalable Capital obravnavalo tudi to, da Moralna škoda, ki jo povzroči kršitev varnosti osebnih podatkov, po svoji naravi ni manj pomembna od fizične škode..

Poleg tega mora za to, da se dogodek opredeli kot krajo identitete, tretja oseba dejansko zlorabiti osebne podatke.

Evropsko sodišče za človekove pravice je v sodbi z dne 6. junija (Bersheda in Rybolovlev proti Monaku) razsodilo, da preiskave, ki jih je preiskovalni sodnik opravil na mobilnem telefonu odvetnika in množično in neselektivno pridobivanje osebnih podatkov – vključno s podatki, ki jih je pritožnik predhodno izbrisal – je preseglo pristojnost tega sodnika in ni bilo spremljano z zaščitnimi ukrepi za zagotavljanje spoštovanja statusa in poklicne skrivnosti pritožnika kot odvetnika.

Pod pritiskom civilne družbe in evropskega organa, odgovornega za izvajanje Zakona o digitalnih storitvah (DSA), LinkedIn je s svoje platforme odstranil ciljanje oglasov na podlagi občutljivih osebnih podatkov uporabnikov..

Ta vrsta ciljanja je bila ocenjena kot kršitev Zakona o digitalnih storitvah (DSA).

Podjetje Meta je sredi junija potrdila, da začasno ustavlja načrte za usposabljanje svojih sistemov umetne inteligence z uporabo uporabniških podatkov v EU in Združenem kraljestvu.

Projekt je bil usmerjen na uporabniške podatke iz Facebooka, Instagrama in Threads.

Ta odločitev sledi ukrepu irske komisije za varstvo podatkov, ki deluje v imenu več organov za varstvo podatkov po vsej EU, zlasti pa v imenu organa v Hamburgu.

 

Novice iz držav članic Evrope.

Belgijski APD je 3. junija naložil globo v višini 172.000 evrov podjetju, ki ni izpolnilo zahteve za izbris podatkov in je še naprej pošiljalo e-poštna sporočila za neposredno trženje.

Argumentov upravljavca podatkov, s katerimi je želel krivdo prevaliti na pooblaščeno osebo za varstvo podatkov, organ za varstvo podatkov ni upošteval: upravljavec podatkov je odgovoren za odzivanje na zahteve za dostop in zagotavljanje, da ima pooblaščena oseba za varstvo podatkov zadostne vire.

V GrčijiPolicijska uprava (APD) je ministrstvu za notranje zadeve in poslancu Evropskega parlamenta naložila globi v višini 400.000 oziroma 40.000 evrov zaradi pošiljanja nezaželenih političnih sporočil, pri čemer je ministrstvo za notranje zadeve poslancu Evropskega parlamenta posredovalo e-poštne naslove zadevnih oseb.

V Luksemburgu, APD je menil, da uporaba video nadzora za utemeljitev odpovedi odpovedi zaposlenega krši načelo omejitve namena iz GDPR, če je bil prvotno nameščen za zagotavljanje varnosti zaposlenih.

Na Nizozemskem, Sodišče je podjetjem Microsoft, LinkedIn in Xandr prepovedalo nameščanje sledilnih piškotkov na spletna mesta tretjih oseb brez soglasja uporabnikov in jim naložilo globo v višini 1000 evrov na podjetje za vsak dan neupoštevanja odločitve.

Sodišče je razsodilo, da so te platforme še vedno odgovorne za zbiranje veljavnih soglasij, tudi če to zbiranje zaupajo spletnim mestom tretjih oseb, ki integrirajo njihove tehnologije sledenja.

Na DanskemAPD je mesto København opominjal, ker ni preprečilo morebitnega dostopa 37.500 nepooblaščenih zaposlenih do osebnih podatkov 3,7 milijona ljudi.

Latvijska APD je podjetju, ki je ponujalo fotografske storitve v zabaviščnem parku, naložil globo v višini 1.000 evrov.

Podjetje je fotografiralo obiskovalce na podlagi implicitne privolitve, česar ni bilo mogoče šteti za pozitivno dejanje.

V ItalijiPolicijska uprava ZDA (APD) je podjetju naložila 100.000 evrov globe zaradi nezakonite obdelave telefonskih številk za namene teletrženja.

APD je menil, da upravljavec podatkov ne more prenesti svoje odgovornosti in obveznosti v skladu z GDPR na podizvajalca s pogodbeno klavzulo.

Švedska uradna razvojna pomoč Banka Avanza Bank AB je bila kaznovana z globo v višini 1.318.955,55 evrov (15 milijonov SEK) zaradi kršitve člena 5(1)(f) in člena 32 GDPR, saj je nenamerna aktivacija dveh funkcij Meta Pixel povzročila nepooblaščen prenos osebnih podatkov v Meta Pixel.

Na Poljskem je uradna razvojna pomoč (ODA) je podjetju naložil globo v višini 54.600 evrov, potem ko je izguba ključka USB z nešifriranimi podatki o zaposlenih povzročila kršitev varnosti podatkov.

13. junija Nevladna organizacija NOYB je pri avstrijskem organu za varstvo podatkov (APD) vložila pritožbo zoper Googlove prakse glede zbiranja osebnih podatkov prek njegovega »peskovnika zasebnosti«.

Nevladna organizacija poudarja, da so uporabnike, odkar je Google septembra 2023 napovedal, da bo postopoma odstranil piškotke tretjih oseb iz svojega brskalnika Chrome, vse bolj spodbujali k aktivaciji tako imenovane "funkcije zasebnosti oglasov", ki bi Googlu v resnici omogočila sledenje.

NOYB je 4. junija v Avstriji vložil tudi pritožbo proti Microsoftu, čigar storitve »365 Education« naj bi kršile pravice otrok do varstva podatkov.

Po navedbah nevladne organizacije je Microsoft, ko so študenti želeli uveljavljati svoje pravice v skladu z GDPR, izjavil, da so šole "odgovorne" za svoje podatke, čeprav šole nimajo nadzora nad Microsoftovimi sistemi.

Združenje Eu Travel Tech je konec maja pri francoskih in belgijskih organih za varstvo podatkov vložilo pritožbo proti družbi Ryanair zaradi njene nedavne uvedbe zahteve po obdelavi biometričnih podatkov strank za dostop do upravljanja rezervacij in funkcij spletne prijave.

Združenje meni, da ta postopek biometričnega preverjanja krši načela zakonitosti, pravičnosti in preglednosti GDPR (prek AFCDP).

 

OECD je 26. junija objavila poročilo o umetni inteligenci, upravljanju podatkov in varstvu zasebnosti.

To poročilo pregleduje nacionalne in regionalne pobude ter predlaga možna področja sodelovanja.

Z zagovarjanjem boljšega mednarodnega sodelovanja želi poročilo usmerjati razvoj sistemov umetne inteligence, ki spoštujejo in podpirajo zasebnost.

OECD je 19. junija objavila tudi delovni dokument z naslovom "Za digitalno varnost otrok že z načrtovanjem".

Dokument se osredotoča na ukrepe, ki jih morajo sprejeti ponudniki digitalnih storitev, in predlaga osem ključnih ukrepov, vključno s praktičnimi orodji, ukrepi za spodbujanje kulture varnosti in strategijami za zmanjševanje škode.

Te elemente ponazarjajo študije primerov, ki poudarjajo potrebo po sprejetju pristopov, prilagojenih kontekstu.

Kalifornijska agencija za varstvo zasebnosti (CPPA) in CNIL sta podpisala izjavo o sodelovanju., 25. junija 2024 v Parizu.

CNIL navaja, da nameravata oba organa združiti prizadevanja za okrepitev varstva osebnih podatkov francoskih in kalifornijskih državljanov.

Nvidia (eden vodilnih dobaviteljev polprevodnikov za umetno inteligenco), Microsoft in OpenAI so menda predmet spora. protimonopolna preiskava v Združenih državah Amerike.

Glede na poročilo Politica bosta pri tem vprašanju sodelovala Ministrstvo za pravosodje (DOJ) in Zvezna komisija za trgovino (FTC). Ministrstvo se bo osredotočilo na Nvidio, FTC pa bo preučila partnerstvo med Microsoftom in OpenAI, da bi ugotovila, ali imata nepošteno prednost.

Japonska je 12. junija sprejela zakon, podoben evropski uredbi o digitalnih trgih (DMA).

Besedilo bi vključevalo „obveznosti za zagotavljanje interoperabilnosti, preglednosti in prenosljivosti podatkov“.

Zakon bo začel veljati konec decembra 2025.

Ameriško podjetje Dropbox je v začetku maja sporočil, da je bil žrtev kibernetskega napada..

Zlonamerni vdor se nanaša na njihovo platformo za varno elektronsko podpisovanje dokumentov, Dropbox Sign, prej HelloSign.

Ukradeni podatki vključujejo imena, e-poštne naslove, šifrirana gesla, podatke o plačilu in podatke za preverjanje pristnosti.

Podjetje trdi, da je ponastavilo gesla vseh uporabnikov in prekinilo vse seje (prek AFCDP).