Analiziranje občinstva za boljšo komunikacijo ... kakšna so pravila?

Pravna ura št. 49 – Julij 2022

Analiziranje občinstva za boljšo komunikacijo ... kakšna so pravila? Danes mediji in družbena omrežja podjetjem omogočajo analizo svojega občinstva, da bi ga bolje ciljala, izboljšala svojo podobo in prilagodila svojo trženjsko strategijo.

Zato je mogoče in vse pogosteje najeti podjetje za "spremljanje družbenih medijev", ki bo prečesalo splet, sledilo najpomembnejšim pogovorom na družbenih omrežjih in svojim strankam zagotovilo poročila in analize, prilagojene njihovim potrebam.

Čeprav so tako analizirani podatki javni, so pogosto osebni podatki, ki ostajajo zaščiteni z GDPR, pa naj gre za vplivneže, novinarje ali druge ljudi, aktivne na družbenih omrežjih.

Kdo mora izpolnjevati te obveznosti?

Pri sklepanju pogodbe z zunanjim partnerjem za oceno, kako je storitev zaznana na družbenih omrežjih, se podjetje naročnika šteje za upravljavca podatkov za pogodbeno storitev, podjetje za spremljanje medijev pa za podizvajalca.

Posledice so pomembne, saj vključujejo odgovornost za to, kako se podatki družbenih medijev zbirajo, obdelujejo in shranjujejo.

Zato je pri sklepanju takšne pogodbe priporočljivo preveriti več elementov, da se zagotovi skladnost praks podjetja, ki izvaja »spremljanje medijev«, z GDPR:

• Kje se nahaja podjetje?

Če ima podjetje sedež zunaj EU, je pomembno preveriti veljavno zakonodajo, zlasti če se podjetje ne nahaja v državi, ki ponuja ustrezno raven zaščite.

V tem primeru bo moral uporabiti posebna jamstva za zagotovitev varstva podatkov, najpogosteje standardne pogodbene klavzule.

• Ali podjetje navede ime in kontaktne podatke svoje pooblaščene osebe za varstvo podatkov?

• Ali svojo politiko zasebnosti o varstvu podatkov objavlja na svoji spletni strani ali je na voljo na zahtevo?

Upoštevajte, da je treba tukaj razlikovati med politiko varstva podatkov za spletno mesto in politiko obdelave podatkov za storitve spremljanja medijev.

• Ali so naslednji podatki vključeni v ta dokument in/ali pogodbo?

• Ustrezne vloge podizvajalca ali upravljavca podatkov, obseg odgovornosti vsake osebe;

• Pogoji za zbiranje osebnih podatkov, vir podatkov, vrste zbranih podatkov in kraj shranjevanja, način združevanja ali psevdonimizacije teh podatkov, kjer je to primerno;

• Pravna podlaga;

• Obdobje hrambe podatkov;

• Varnostni in zaupni ukrepi;

• Prenos podatkov zunaj EU;

• Informacije za zadevne osebe in načini uveljavljanja njihovih pravic.

Najbolje je zaupati podjetjem, ki zagotavljajo največjo možno raven podrobnosti glede teh različnih elementov.

To ne odvezuje naročnikove družbe od tega, da kot upravljavec podatkov sama sprejme dodatne ukrepe.

Zlasti glede obveščanja zadevnih oseb se lahko šteje, da neposredno obveščanje vključuje nesorazmerne napore.

Vendar pa se lahko politiki varstva podatkov spletnega mesta doda informativno obvestilo, ki obvešča splošno javnost o opravljenih analizah občinstva, določa različne odgovornosti in pravice ter za več podrobnosti navaja sklic na spletno mesto zunanjega partnerja.

In tudi

Francija:

CNIL je svoje stališče o obogatenih kamerah objavil 19. julija. in poziva k celovitemu razmisleku o pravilni uporabi teh orodij v javnih prostorih.

Komisija opozarja na tveganje obsežnega nadzora in analiz, ki bi lahko posledično spremenila vedenje ljudi, ki hodijo po ulici ali obiskujejo trgovine.

Poudarja, da francoska zakonodaja javnim organom ne dovoljuje uporabe obogatenih kamer za odkrivanje in pregon kaznivih dejanj, in meni, da je treba določiti rdeče meje, da se te kamere nikoli ne uporabljajo za namene "ocenjevanja" ljudi.

CNIL je 26. julija objavil priporočila glede nadzora starosti na spletnih straneh: Poziva k razvoju učinkovitejših in zasebnosti prijaznejših rešitev, s sklicevanjem na uporabo bančnih kartic in prepoznavanja obrazov.

Prav tako podpira razvoj vloge zaupanja vrednih tretjih oseb.

CNIL je 21. julija podjetju Ubeeqo International naložil tudi globo v višini 175.000 evrov. podjetje za najem avtomobilov, zlasti ker je povzročilo nesorazmeren vdor v zasebnost svojih strank s skoraj stalnim geolokiranjem.

Evropa:

Evropski parlament je 5. julija z zelo veliko večino sprejel dve evropski uredbi o digitalnih trgih in digitalnih storitvah (DMA in DSA).

Svet je DMA prav tako dokončno odobril julija, medtem ko naj bi bila DSA odobrena novembra.

Komisija že razmišlja o ustanovitvi specializiranega oddelka, ki bi zagotovil skladnost digitalnih velikanov z zakonom DMA.

Evropski odbor za varstvo podatkov (EDPB) se je na zbiranje osebnih podatkov s strani TikToka odzval v pismu, naslovljenem na več nevladnih organizacij 28. julija.

Poudarja hitro ukrepanje irskih, italijanskih in španskih nadzornih organov po objavi TikToka, da ne bo več zahteval soglasja uporabnikov za pošiljanje prilagojenih oglasov (pravna podlaga je postala legitimni interes TikToka in njegovih partnerjev).

Po teh dejanjih je TikTok napovedal, da začasno ustavlja to spremembo pravne podlage.

Odbor je prav tako zavzel stališče z evropskim nadzornikom za varstvo podatkov (EDPS) glede predlagane uredbe za preprečevanje in boj proti spolni zlorabi otrok.

Namen predloga je naložiti obveznosti različnim spletnim storitvam v zvezi z odkrivanjem, prijavljanjem, odstranjevanjem in blokiranjem spletnega gradiva o spolni zlorabi otrok (CSAM) in nagovarjanjem otrok k spolnemu zlorabljanju.

Nadzorni organi sicer opozarjajo, da ta kazniva dejanja štejejo za posebej resna in gnusna, vendar hkrati ugotavljajo, da lahko vsiljiva narava predloga v sedanji obliki predstavlja večja tveganja za posameznike in posledično za družbo kot celoto kot za storilce kaznivih dejanj, ki jih preganja CSAM.

Evropski odbor za varstvo podatkov (EOVP) in Evropski nadzornik za varstvo podatkov (EDPS) sta izdala mnenje o predlogu Evropske komisije za evropski prostor zdravstvenih podatkov (EHDS).

Namen predloga je ustvariti "Evropsko zdravstveno unijo" z "polnim izkoriščanjem potenciala, ki ga ponuja varna izmenjava, uporaba in ponovna uporaba zdravstvenih podatkov".

Mnenje poudarja zlasti tveganja, povezana s sekundarno uporabo elektronskih zdravstvenih podatkov, ki lahko ustvari koristi za javno dobro, vendar ni brez tveganja za pravice in svoboščine posameznikov.

EDPB je svoje stališče o prenosih v Rusijo objavil 12. julija.

Odbor ne komentira razvoja ravni varstva podatkov v tej državi od začetka vojne, vendar poudarja, da je treba prenose podatkov analizirati na podlagi učinka za vsak primer posebej.

Sodišče Evropske unije je 1. avgusta objavilo pomembno sodbo o obsegu varstva občutljivih podatkov.

Pojem „posebnih kategorij“ osebnih podatkov je treba razlagati široko, zlasti da se zagotovi doseganje cilja iz člena 9(1) GDPR.

Zadevna litovska zakonodaja o preprečevanju navzkrižja interesov in korupcije je zahtevala objavo imena partnerja javnega uslužbenca.

Sodišče je ugotovilo, da bi te informacije lahko razkrile podatke o spolnem življenju ali usmerjenosti policista in njegove partnerice.

Na Norveškem je organ za varstvo podatkov začel sodelovati s sindikati pri spremljanju kamer na delovnem mestu.

Odbor za pritožbe organa se je nadalje strinjal, da prevzemno podjetje prevzame odgovornost za upravljavca podatkov pred prevzemom, in potrdil odločitev o naložitvi globe v višini približno 12.000 EUR zaradi nezakonitega kreditnega točkovanja, ki je v nasprotju s členom 6(1) GDPR (prek GDPRhub)

Spodnjesaški organ za varstvo podatkov je Volkswagnu naložil globo v višini milijona evrov zaradi kršitev varstva podatkov v povezavi z uporabo testnega vozila s kamerami. namenjen izboljšanju sistemov za pomoč vozniku in preprečevanje nesreč.

Testni avtomobil je bil vožen brez kakršnih koli vidnih informacij v nadzornem polju kamer.

Danski organ za varstvo podatkov je oštel organ za zdravstvene podatke, ker ni preizkusil svoje baze podatkov o zdravilih. za odkrivanje napak v arhitekturi storitev, ki so privedle do kršitve varnosti podatkov, ki je prizadela 267 posameznikov (prek GDPRhuba).

DPA je občino Helsingør oštel tudi zaradi uporabe prenosnikov Google Chromebook in »Google Workspace for Education« v osnovnih šolah.

To obdelavo je prepovedala, dokler ni usklajena z GDPR, in začasno ustavila vse s tem povezane prenose podatkov v Združene države (prek GDPRhub).

Mimogrede, na Nizozemskem študente in osebje za internetna iskanja namesto v Google Search zdaj usmerjajo na DuckDuckGo.

Slovenski organ za varstvo podatkov je prerazvrstil pogodbo med ponudnikom storitev v oblaku in njegovimi strankami: ugotovil je, da ni bilo odnosa upravljavec/obdelovalec, temveč deljene odgovornosti., saj sta se obe stranki odločili o namenih in načinih obdelave (prek GDPRhub)

Javna naročilna zbornica Baden-Württemberga ugotavlja, da je prenos osebnih podatkov v tretjo državo (zunaj EU) v skladu z GDPR nedopusten., tudi če ustrezni strežnik upravlja podjetje s sedežem v EU, če je le del ameriške skupine.

Mednarodno:

Nevladna organizacija Data Rights in njene kenijske partnerske organizacije, Kenijska komisija za človekove pravice in Nubijski forum za pravice, tožijo IDEMIA, vodilno francosko podjetje za biometrično tehnologijo, na pariškem sodišču..

Te organizacije obtožujejo IDEMIO, da v svojem načrtu nadzora glede zajemanja biometričnih podatkov prebivalstva za razvoj nacionalnega sistema digitalne identifikacije v Keniji ni upoštevala človekovih pravic.

Daily Mail z dne 13. julija razpravlja o uporabi umetne inteligence na Kitajskem za "izboljšanje" delovanja sodišč: Računalniki bi v razsodbi popravili zaznane človeške napake, pri čemer bi sodniki morali stroju predložiti pisno pojasnilo, če se ne strinjajo s popravki umetne inteligence.

Velika Britanija in Združene države Amerike bodo oktobra začele deliti podatke, povezane s preiskavami organov pregona, v okviru sporazuma CLOUD med državama.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.