Sa oled siin

Sotsiaalmeedia

06.07.2022

Suunised 8/2020 sotsiaalmeedia kasutajate suunamise kohta (449.54 KB, PDF)

Euroopa Andmekaitsenõukogu suunises sotsiaalmeedia kasutajate suunamisest on oluline tähelepanek, et kasutajate suunamine võib hõlmata isikuandmete sellist kasutamist, mis on vastuolus üksikisikute mõistlike ootustega või ületab neid ning millega seega rikutakse kohaldatavaid andmekaitsepõhimõtteid ja -eeskirju. Näiteks kui sotsiaalmeedia platvorm kombineerib kolmandatelt isikutelt saadud isikuandmed andmetega, mille on avalikustanud platvormi kasutajad, võib see viia selleni, et isikuandmeid kasutatakse väljaspool nende algset eesmärki ja viisil, mida üksikisik ei saanud mõistlikult ette näha. Kasutajate õigustele ja vabadustele võivad tuleneda sellised ohud nagu diskrimineerimine, tõrjumine, manipuleerimine. Sotsiaalmeedia kasutajate suunamise mehhanisme võidakse kasutada ka üksikisikute lubamatuks mõjutamiseks poliitilistes aruteludes ja demokraatlikes valimisprotsessides.

Tavaliselt kasutatakse terminit „kasutaja“ viitamisel teenuse kasutajaks registreeritud isikutele (st isikutele, kellel on „kasutajakonto“ või „profiil“). Nii sotsiaalmeediateenuse osutajate juures registreeritud kui ka registreerimata isikuid võib pidada „andmesubjektideks“. 

Suunistes tähistatakse terminiga „suunaja“ füüsilist või juriidilist isikut, kes kasutab sotsiaalmeediateenuseid, et suunata konkreetseid sõnumeid konkreetsete parameetrite või kriteeriumide alusel sotsiaalmeedia kasutajatele. Suunajad valivad oma sõnumid ja/või sihtrühma vastavalt asjaomaste isikute tajutavatele omadustele, huvidele või eelistustele (ka nn mikrosuunamine). 

Sotsiaalmeedia kasutajad võidakse suunata esitatud, jälgitavate või kaudsete andmete ning nende kombinatsiooni alusel. Kaasvastutavate töötlejatena peavad mõlemad pooled (sotsiaalmeediateenuse osutaja ja suunaja) suutma tõendada, et olemas on õiguslik alus (isikuandmete kaitse üldmääruse (IKÜM) artikkel 6), mis põhjendab iga kaasvastutava töötleja vastutusalas olevat isikuandmete töötlemist.

Sotsiaalmeediateenuse osutaja saab sotsiaalmeedia kasutajate esitatud isikuandmeid kasutada kriteeriumide väljatöötamiseks, mis võimaldab suunajal saata sotsiaalmeedia kasutajatele konkreetseid sõnumeid. Üldiselt on kaks õiguslikku alust, mis võivad põhjendada sotsiaalmeedia kasutajate suunamist toetavat andmetöötlust: andmesubjekti nõusolek (IKÜM artikli 6 lõike 1 punkt a) või õigustatud huvi (IKÜM artikli 6 lõike 1 punkt f).

Suunamiseks võidakse kasutada ka andmeid, mida kasutaja esitab suunajale, kes seejärel kasutab kogutud andmeid kasutajate suunamiseks sotsiaalmeedias. 

Sotsiaalmeediateenuse osutajatel on oma kasutajate käitumise jälgimiseks palju võimalusi. Näiteks on jälgimine võimalik sotsiaalmeediateenuse enda kaudu, kuid jälgida saab ka välistel veebisaitidel sotsiaalmoodulite või pikslite abil. Juhul, kui on tegemist küpsiste kasutamisega, tuleb arvesse võtta e-privaatsuse direktiivi artikli 5 lõikest 3 tulenevaid nõudeid. Selleks, et jälgimistehnoloogia rakendamiseks saadud nõusolek kehtiks, peab see vastama IKÜM artiklis 7 sätestatud tingimustele.

Iga (kaas)vastutav töötleja, kes soovib tugineda nõusolekule kui õiguslikule alusele, vastutab selle eest, et saadakse kehtiv nõusolek. Euroopa Liidu Kohus rõhutas Fashion ID kohtuotsuses, kui oluline on tagada andmesubjektide õiguste tõhus ja õigeaegne kaitse.

Kasutajate kohta saab kaudseid andmeid koostada nii sotsiaalmeediateenuse osutaja kui ka suunaja. Sotsiaalmeedia kasutajate suunamisega tuletatud andmete alusel reklaami eesmärgil kaasneb tavaliselt profiilianalüüs. Profiilianalüüs võib olla seaduslik iga IKÜM artikli 6 lõikes 1 sätestatud õigusliku aluse kohaselt, kui see õiguslik alus on kehtiv.

Kasutajatele nende isikuandmete töötlemise viisi kohta antav teave peaks olema kõikidel juhtudel kokkuvõtlik, läbipaistev, arusaadav ja kergesti kättesaadav ning esitatud selges ja lihtsas keeles. 

Kasutajatele peaks olema kättesaadav lihtsasti kasutatav ja tõhus vahend, mis tagab, et tal on igal ajal lihtne kasutada kõiki oma õigusi, eelkõige IKÜM artikli 15 kohast kustutamis-, vaidlustamis- ja andmetega tutvumise õigust. Kasutajal peaks olema võimalik teada saada suunaja isik ning vastutavad töötlejad peaksid hõlbustama juurdepääsu suunajat käsitlevale teabele, sealhulgas kasutatud suunamiskriteeriumidele. 

Sotsiaalmeediateenuse osutajate erijooned – veebikeskkond, kasutajakonto olemasolu – osutavad võimalusele anda kasutajatele hõlpsasti kaugjuurdepääs teda puudutavatele isikuandmetele kooskõlas artikli 15 lõigetega 1 ja 2. Selleks et kasutajad saaksid kasutada oma õigusi tulemuslikult ja kergesti kättesaadaval viisil, võib sotsiaalmeediateenuse osutaja ja suunaja vahelises kokkuleppes määrata kasutajate jaoks kindlaks ühtse kontaktpunkti.

Mõlemad kaasvastutavad töötlejad peaksid enne kavandatud suunamistoimingute alustamist kontrollima IKÜM artikli 35 lõike 4 ning põhjenduste 71, 75 ja 91 alusel riigi tasandil vastu võetud loetelu töötlemistoimingutest, mis kujutavad „endast tõenäoliselt suurt ohtu“, et teha kindlaks, kas määratud suunamine vastab mõnele töötlemistoimingute liigile, mille suhtes kohaldatakse andmekaitsealase mõjuhinnangu koostamise nõuet. 

Üldmääruses on sätestatud selliste isikuandmete erikaitse, mis on üksikisikute põhiõiguste ja -vabaduste seisukohast eriti tundlikud, artiklis 9 sätestatud isikuandmete eriliigid. Näiteks kui keskkonnaorganisatsioon palub sotsiaalmeediateenuse osutajalt kasutajate suunamist nende poliitiliste vaadete alusel, aitavad mõlemad vastutavad töötlejad kaasa IKÜM artiklis 9 sätestatud andmete eriliikide töötlemisele. Nende andmete töötlemine on artikli 9 lõike 1 kohaselt põhimõtteliselt keelatud.

Suunajate ja sotsiaalmeediateenuse osutajate vaheline kokkulepe peaks hõlmama kõiki töötlemistoiminguid, mille eest nad ühiselt vastutavad (st mis kuuluvad nende kaasvastutuse alla). Põhjaliku kokkuleppe väljatöötamiseks peavad nii sotsiaalmeediateenuse osutaja kui ka suunaja olema teadlikud konkreetsetest andmetöötlustoimingutest ja saama nende kohta piisavalt üksikasjalikku teavet.
 

 

Suunised 3/2022 sotsiaalmeedia platvormi liideste tumedatest mustritest: kuidas neid ära tunda ja vältida (771.33 KB, PDF)

Nimetatud suunistes antakse sotsiaalmeediaplatvormide disaineritele ja kasutajatele praktilisi soovitusi selle kohta, kuidas hinnata ja vältida nn tumedaid mustreid sotsiaalmeedia liidestes, mis rikuvad isikuandmete kaitse üldmääruse (IKÜM) nõudeid. Oluline on märkida, et tumedate mustrite ja parimate tavade loetelu ning kasutusjuhud ei ole ammendavad. Sotsiaalmeedia pakkujad vastutavad ja vastutavad selle eest, et nende platvormid vastaksid IKÜM nõuetele.

Tumedad mustrid sotsiaalmeedia platvormidel


Suuniste kontekstis käsitatakse nn tumedaid mustreid kui liideseid ja kasutajakogemusi, mida rakendatakse sotsiaalmeedia platvormidel, mis juhivad kasutajaid tegema tahtmatuid, soovimatuid ja potentsiaalselt kahjulikke otsuseid oma isikuandmete töötlemise kohta. Tumedate mustrite eesmärk on mõjutada kasutajate käitumist ja need võivad takistada nende võimet tõhusalt kaitsta oma isikuandmeid ja teha teadlikke valikuid. Andmekaitseasutused vastutavad tumedate mustrite kasutamise eest, kui need rikuvad IKÜM nõudeid. Käesolevates suunistes käsitletud tumedad mustrid võib jagada järgmistesse kategooriatesse: 

 • Ülekoormus tähendab, et kasutajad puutuvad kokku suure hulga päringute, teabe, valikute või võimalustega, et sundida kasutajaid jagama rohkem andmeid või võimaldama andmesubjekti ootustele vastupidiselt isikuandmete töötlemist. 

  Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) pidev sundimine, (ii) privaatsuse rägastik ja (iii) liiga palju võimalusi.
 • Vahelejätmine tähendab liidese või kasutajakogemuse kujundamist nii, et kasutajad unustavad kõik või mõned andmekaitseaspektid või ei mõtle neile.

  Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) petlik hubasus  ja (ii) vaata sinna.
 • Segamine mõjutab kasutajate valikuid, tuginedes nende emotsioonidele või kasutades visuaalseid müksamisi.

  Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) emotsionaalne juhtimine ja (ii) silmapiirilt peidetud.
 • Takistamine tähendab kasutajate takistamist või blokeerimist nende teabe saamise või andmete haldamise protsessis, muutes toimingu keeruliseks või võimatuks.

  Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) tupik, (ii) pikem kui vajalik ja (iii) eksitav teave.
 • Püsimatu tähendab, et liidese konstruktsioon on ebajärjekindel ja ebaselge, mistõttu on kasutajal raske liikuda erinevates andmekaitsetingimustes ja mõista töötlemise eesmärki.

  Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) puudub hierarhia ja (ii) dekontekstualiseerimine.
 • Pimedusse jäetud tähendab, et liides on kavandatud nii, et see varjab teabe või andmekaitse tingimused või jätab kasutajatele ebaselgeks, kuidas nende andmeid töödeldakse ja millist kontrolli nad võivad oma õiguste kasutamise üle omada.

  Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) seosetu keelekasutus, (ii) vastuoluline teave ja (iii) mitmetähenduslik sõnastus või teave.

Asjakohased IKÜMi sätted tumeda mustri hindamise kohta 


Seoses sotsiaalmeediasektori veebirakenduste kasutajaliideste andmekaitsenõuete järgimisega on kohaldatavad andmekaitsepõhimõtted sätestatud IKÜM artiklis 5. Nimetatud artikli lõike 1 punktis a sätestatud õiglase töötlemise põhimõte on lähtepunkt, et hinnata, kas disainilahenduse muster kujutab endast tegelikult „tumedat mustrit“. Hindamisel mängivad rolli ka läbipaistvuse, võimalikult väheste andmete kogumise ja vastutuse põhimõtted vastavalt IKÜM artikli 5 lõike 1 punktidele a ja c ning artikli 2 ning mõnel juhul artikli 5 lõike 1 punkti b kohase eesmärgi piiramise põhimõtted. Muudel juhtudel põhineb õiguslik hinnang mh IKÜM artikli 4 lõike 11 ja artikli 7 kohasel nõusolekul või muudel konkreetsetel kohustustel, nagu näiteks IKÜM artiklil 12. On selge, et isiku õiguste kontekstis tuleb arvesse võtta ka IKÜMi kolmandat peatükki. Üldmääruse artiklis 25 sätestatud lõimitud andmekaitse ja vaikimisi andmekaitse nõuetel on oluline roll, sest nende kohaldamine enne liidese kujunduse käivitamist aitaks sotsiaalmeedia pakkujatel vältida tumedaid mustreid.

Näited tumedatest mustritest sotsiaalmeedia konto elutsükli kasutusjuhtudel


Isikuandmete kaitse üldmääruse sätteid kohaldatakse kogu isikuandmete töötlemise protsessiga seonduvalt osana sotsiaalmeedia platvormide toimimisest, st kogu kasutajakonto elutsüklile. Euroopa Andmekaitsenõukogu toob konkreetseid näiteid tumedate mustrite kohta järgmiste kasutusjuhtude puhul selle olelusringi jooksul: registreerimine, st registreerimisprotsess; juhtumid, mis on seotud privaatsusteate, kaasvastutava töötleja ja andmesidega seotud rikkumistega; nõusoleku ja andmekaitse haldamine; andmesubjekti õiguste kasutamine sotsiaalmeedia kasutamise ajal; ja lõpuks sotsiaalmeedia konto sulgemine. Seoseid IKÜMi sätetega selgitatakse kahel viisil: esiteks selgitatakse igas kasutusjuhtumis üksikasjalikumalt, millised eespool nimetatud IKÜMi sätted on selle jaoks eriti olulised. Teiseks selgitatakse tumedaid mustreid käsitlevates lõikudes, kuidas need rikuvad IKÜMi. 

Soovitused parimate tavade kohta


Lisaks tumedate mustrite näidetele on suunistes esitatud ka parimad tavad iga kasutusjuhtumi lõpus. Need sisaldavad konkreetseid soovitusi kasutajaliideste väljatöötamiseks, mis hõlbustavad IKÜMi tõhusat rakendamist.

Tumedate mustrite kategooriate kontrollnimekiri


Tumedate mustrite kategooriate kontrollnimekiri on esitatud käesolevate suuniste lisas. See annab ülevaate eespool nimetatud kategooriatest ja tumedate mustrite tüüpidest ning loetelu näidetest iga tumeda mustri kohta, mida on nimetatud kasutusjuhtudel.