Sotsiaalmeedia

Sotsiaalmeedia kasutamisest on antud kaks suunist – sotsiaalmeedia kasutajate suunamisest ja sotsiaalmeedia tumedatest mustritest. Antud ülevaates käsitleme mõlemaid.

Sotsiaalmeedia kasutajate suunamisest

Sotsiaalmeedia kasutajate suunamine võib hõlmata isikuandmete sellist kasutamist, mis on vastuolus üksikisikute mõistlike ootustega või ületab neid ning millega seega rikutakse kohaldatavaid andmekaitsepõhimõtteid ja -eeskirju. Näiteks kui sotsiaalmeedia platvorm kombineerib kolmandatelt isikutelt saadud isikuandmed andmetega, mille on avalikustanud platvormi kasutajad, võib see viia selleni, et isikuandmeid kasutatakse väljaspool nende algset eesmärki ja viisil, mida üksikisik ei saanud mõistlikult ette näha. Kasutajate õigustele ja vabadustele võivad tuleneda sellised ohud nagu diskrimineerimine, tõrjumine, manipuleerimine. Sotsiaalmeedia kasutajate suunamise mehhanisme võidakse kasutada ka üksikisikute lubamatuks mõjutamiseks poliitilistes aruteludes ja demokraatlikes valimisprotsessides.

Tavaliselt kasutatakse terminit „kasutaja“ viitamisel teenuse kasutajaks registreeritud isikutele (st isikutele, kellel on „kasutajakonto“ või „profiil“). Nii sotsiaalmeediateenuse osutajate juures registreeritud kui ka registreerimata isikuid võib pidada „andmesubjektideks“.

Suunistes tähistatakse terminiga „suunaja“ füüsilist või juriidilist isikut, kes kasutab sotsiaalmeediateenuseid, et suunata konkreetseid sõnumeid konkreetsete parameetrite või kriteeriumide alusel sotsiaalmeedia kasutajatele. Suunajad valivad oma sõnumid ja/või sihtrühma vastavalt asjaomaste isikute tajutavatele omadustele, huvidele või eelistustele (ka nn mikrosuunamine).

Sotsiaalmeedia kasutajad võidakse suunata esitatud, jälgitavate või kaudsete andmete ning nende kombinatsiooni alusel. Kaasvastutavate töötlejatena peavad mõlemad pooled (sotsiaalmeediateenuse osutaja ja suunaja) suutma tõendada, et olemas on õiguslik alus (isikuandmete kaitse üldmääruse artikkel 6), mis põhjendab iga kaasvastutava töötleja vastutusalas olevat isikuandmete töötlemist.

Sotsiaalmeediateenuse osutaja saab sotsiaalmeedia kasutajate esitatud isikuandmeid kasutada kriteeriumide väljatöötamiseks, mis võimaldab suunajal saata sotsiaalmeedia kasutajatele konkreetseid sõnumeid. Üldiselt on kaks õiguslikku alust, mis võivad põhjendada sotsiaalmeedia kasutajate suunamist toetavat andmetöötlust: andmesubjekti nõusolek (isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt a) või õigustatud huvi (isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt f).

Suunamiseks võidakse kasutada ka andmeid, mida andmesubjekt esitab suunajale, kes seejärel kasutab kogutud andmeid andmesubjekti suunamiseks sotsiaalmeedias.

Sotsiaalmeediateenuse osutajatel on oma kasutajate käitumise jälgimiseks palju võimalusi. Näiteks on jälgimine võimalik sotsiaalmeediateenuse enda kaudu, kuid jälgida saab ka välistel veebisaitidel sotsiaalmoodulite või pikslite abil. Juhul, kui on tegemist küpsiste kasutamisega, tuleb arvesse võtta e-privaatsuse direktiivi artikli 5 lõikest 3 tulenevaid nõudeid. Selleks, et jälgimistehnoloogia rakendamiseks saadud nõusolek kehtiks, peab see vastama isikuandmete kaitse üldmääruse artiklis 7 sätestatud tingimustele.

Iga (kaas)vastutav töötleja, kes soovib tugineda nõusolekule kui õiguslikule alusele, vastutab selle eest, et saadakse kehtiv nõusolek. Euroopa Liidu Kohus rõhutas Fashion ID kohtuotsuses, kui oluline on tagada andmesubjektide õiguste tõhus ja õigeaegne kaitse.

Andmesubjektide kohta saab kaudseid andmeid koostada nii sotsiaalmeediateenuse osutaja kui ka suunaja. Sotsiaalmeedia kasutajate suunamisega tuletatud andmete alusel reklaami eesmärgil kaasneb tavaliselt profiilianalüüs. Profiilianalüüs võib olla seaduslik iga isikuandmete kaitse üldmääruse artikli 6 lõikes 1 sätestatud õigusliku aluse kohaselt, kui see õiguslik alus on kehtiv.

Andmesubjektidele nende isikuandmete töötlemise viisi kohta antav teave peaks olema kõikidel juhtudel kokkuvõtlik, läbipaistev, arusaadav ja kergesti kättesaadav ning esitatud selges ja lihtsas keeles.

Andmesubjektile peaks olema kättesaadav lihtsasti kasutatav ja tõhus vahend, mis tagab, et tal on igal ajal lihtne kasutada kõiki oma õigusi, eelkõige isikuandmete kaitse üldmääruse artikli 15 kohast kustutamis-, vaidlustamis- ja andmetega tutvumise õigust. Andmesubjektil peaks olema võimalik teada saada suunaja isik ning vastutavad töötlejad peaksid hõlbustama juurdepääsu suunajat käsitlevale teabele, sealhulgas kasutatud suunamiskriteeriumidele.

Sotsiaalmeediateenuse osutajate erijooned – veebikeskkond, kasutajakonto olemasolu – osutavad võimalusele anda andmesubjektile hõlpsasti kaugjuurdepääs teda puudutavatele isikuandmetele kooskõlas artikli 15 lõigetega 1 ja 2. Selleks et andmesubjektid saaksid kasutada oma õigusi tulemuslikult ja kergesti kättesaadaval viisil, võib sotsiaalmeediateenuse osutaja ja suunaja vahelises kokkuleppes määrata andmesubjektide jaoks kindlaks ühtse kontaktpunkti.

Mõlemad kaasvastutavad töötlejad peaksid enne kavandatud suunamistoimingute alustamist kontrollima isikuandmete kaitse üldmääruse artikli 35 lõike 4 ning põhjenduste 71, 75 ja 91 alusel riigi tasandil vastu võetud loetelu töötlemistoimingutest, mis kujutavad „endast tõenäoliselt suurt ohtu“, et teha kindlaks, kas määratud suunamine vastab mõnele töötlemistoimingute liigile, mille suhtes kohaldatakse andmekaitsealase mõjuhinnangu koostamise nõuet.

Isikuandmete kaitse üldmääruses on sätestatud selliste isikuandmete erikaitse, mis on üksikisikute põhiõiguste ja -vabaduste seisukohast eriti tundlikud, artiklis 9 sätestatud isikuandmete eriliigid. Näiteks kui keskkonnaorganisatsioon palub sotsiaalmeediateenuse osutajalt kasutajate suunamist nende poliitiliste vaadete alusel, aitavad mõlemad vastutavad töötlejad kaasa isikuandmete kaitse üldmääruse artiklis 9 sätestatud andmete eriliikide töötlemisele. Nende andmete töötlemine on artikli 9 lõike 1 kohaselt põhimõtteliselt keelatud.

Suunajate ja sotsiaalmeediateenuse osutajate vaheline kokkulepe peaks hõlmama kõiki töötlemistoiminguid, mille eest nad ühiselt vastutavad (st mis kuuluvad nende kaasvastutuse alla). Põhjaliku kokkuleppe väljatöötamiseks peavad nii sotsiaalmeediateenuse osutaja kui ka suunaja olema teadlikud konkreetsetest andmetöötlustoimingutest ja saama nende kohta piisavalt üksikasjalikku teavet.

Sisukord

1             Sissejuhatus        

2             Ulatus   

3             Isikuandmete töötlemisest kasutajate õigustele ja vabadustele tulenevad ohud           

4             Osalejad ja ülesanded     

4.1          Kasutajad           

4.2          Sotsiaalmeediateenuse osutajad   

4.3          Suunajad             

4.4          Muud asjaomased osalejad

4.5          Ülesanded ja kohustused

5             Erinevate suunamismehhanismide analüüs

5.1          Ülevaade

5.2          Suunamine esitatud andmete alusel             

5.2.1       Andmed, mida kasutaja esitab sotsiaalmeediateenuse osutajale

A.            Ülesanded           

B.            Õiguslik alus        

5.2.2       Andmed, mida sotsiaalmeedia platvormi kasutaja esitab suunajale   

A.            Ülesanded           

B.            Õiguslik alus

5.3          Suunamine jälgitavate andmete alusel        

5.3.1       Ülesanded

5.3.2       Õiguslik alus        

5.4          Suunamine kaudsete andmete alusel           

5.4.1       Ülesanded           

5.4.2       Õiguslik alus        

6             Läbipaistvus ja õigus andmetega tutvuda

6.1          Kokkuleppe põhitingimused ja esitatav teave (isikuandmete kaitse üldmääruse artikli 26 lõige 2)              

6.2          Õigus tutvuda andmetega (artikkel 15)        

7             Andmekaitsealased mõjuhinnangud          

8             Isikuandmete eriliigid    

8.1          Mis on isikuandmete eriliik?           

8.1.1       Selged andmete eriliigid    

8.1.2       Kaudsed ja kombineeritud isikuandmete eriliigid      

8.2          Ilmselgelt avalikustatud andmete eriliikide puhul artikli 9 lõikes 2 sätestatud erand        

9             Kaasvastutus ja kohustus               

9.1          Kaasvastutavate töötlejate kokkulepe ja kohustuste kindlaksmääramine (isikuandmete kaitse üldmääruse artikkel 26)    

9.2          Vastutuse tasandid

Suunised sotsiaalmeedia kasutajate suunamise kohta eesti keelne masintõlge

Sotsiaalmeedia kasutamise tumedate mustrite suunised

Nimetatud suunistes antakse sotsiaalmeediaplatvormide disaineritele ja kasutajatele praktilisi soovitusi selle kohta, kuidas hinnata ja vältida nn tumedaid mustreid sotsiaalmeedia liidestes, mis rikuvad isikuandmete kaitse üldmääruse nõudeid. Oluline on märkida, et tumedate mustrite ja parimate tavade loetelu ning kasutusjuhud ei ole ammendavad. Sotsiaalmeedia pakkujad vastutavad ja vastutavad selle eest, et nende platvormid vastaksid isikuandmete kaitse üldmääruse nõuetele.

Tumedad mustrid sotsiaalmeedia platvormidel

Suuniste kontekstis käsitatakse nn tumedaid mustreid kui liideseid ja kasutajakogemusi, mida rakendatakse sotsiaalmeedia platvormidel, mis juhivad kasutajaid tegema tahtmatuid, soovimatuid ja potentsiaalselt kahjulikke otsuseid oma isikuandmete töötlemise kohta. Tumedate mustrite eesmärk on mõjutada kasutajate käitumist ja need võivad takistada nende võimet tõhusalt kaitsta oma isikuandmeid ja teha teadlikke valikuid. Andmekaitseasutused vastutavad tumedate mustrite kasutamise eest, kui need rikuvad isikuandmete kaitse üldmääruse nõudeid. Käesolevates suunistes käsitletud tumedad mustrid võib jagada järgmistesse kategooriatesse:

  • Ülekoormus tähendab, et kasutajad puutuvad kokku suure hulga päringute, teabe, valikute või võimalustega, et sundida kasutajaid jagama rohkem andmeid või võimaldama andmesubjekti ootustele vastupidiselt isikuandmete töötlemist.

Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) pidev sundimine, (ii) privaatsuse rägastik ja (iii) liiga palju võimalusi.

  • Vahelejätmine tähendab liidese või kasutajakogemuse kujundamist nii, et kasutajad unustavad kõik või mõned andmekaitseaspektid või ei mõtle neile.

Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) petlik hubasus  ja (ii) vaata sinna.

  • Segamine mõjutab kasutajate valikuid, tuginedes nende emotsioonidele või kasutades visuaalseid müksamisi.

Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) emotsionaalne juhtimine ja (ii) silmapiirilt peidetud.

  • Takistamine tähendab kasutajate takistamist või blokeerimist nende teabe saamise või andmete haldamise protsessis, muutes toimingu keeruliseks või võimatuks.

Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) tupik, (ii) pikem kui vajalik ja (iii) eksitav teave.

  • Püsimatu tähendab, et liidese konstruktsioon on ebajärjekindel ja ebaselge, mistõttu on kasutajal raske liikuda erinevates andmekaitsetingimustes ja mõista töötlemise eesmärki.

Sellesse kategooriasse kuuluvad järgmised kaks tumedat mustrit: (i) puudub hierarhia ja (ii) dekontekstualiseerimine.

  • Pimedusse jäetud tähendab, et liides on kavandatud nii, et see varjab teabe või andmekaitse tingimused või jätab kasutajatele ebaselgeks, kuidas nende andmeid töödeldakse ja millist kontrolli nad võivad oma õiguste kasutamise üle omada.

Sellesse kategooriasse kuuluvad järgmised kolm tumedat mustrit: (i) seosetu keelekasutus, (ii) vastuoluline teave ja (iii) mitmetähenduslik sõnastus või teave.

Asjakohased isikuandmete kaitse üldmääruse sätted tumeda mustri hindamise kohta

Seoses sotsiaalmeediasektori veebirakenduste kasutajaliideste andmekaitsenõuete järgimisega on kohaldatavad andmekaitsepõhimõtted sätestatud IKÜM artiklis 5. IKÜM artikli 5 lõike 1 punktis a sätestatud õiglase töötlemise põhimõte on lähtepunkt, et hinnata, kas disainilahenduse muster kujutab endast tegelikult „tumedat mustrit“. Hindamisel mängivad rolli ka läbipaistvuse, võimalikult väheste andmete kogumise ja vastutuse põhimõtted vastavalt IKÜM artikli 5 lõike 1 punktidele a ja c ning artikli 2 ning mõnel juhul artikli 5 lõike 1 punkti b kohase eesmärgi piiramise põhimõtted. Muudel juhtudel põhineb õiguslik hinnang mh IKÜM artikli 4 lõike 11 ja artikli 7 kohasel nõusolekul või muudel konkreetsetel kohustustel, nagu näiteks IKÜM artiklil 12. On selge, et andmesubjekti õiguste kontekstis tuleb arvesse võtta ka isikuandmete kaitse üldmääruse kolmandat peatükki. Isikuandmete kaitse üldmääruse artiklis 25 sätestatud lõimitud andmekaitse ja vaikimisi andmekaitse nõuetel on oluline roll, sest nende kohaldamine enne liidese kujunduse käivitamist aitaks sotsiaalmeedia pakkujatel vältida tumedaid mustreid.

Näited tumedatest mustritest sotsiaalmeedia konto elutsükli kasutusjuhtudel

Isikuandmete kaitse üldmääruse sätteid kohaldatakse kogu isikuandmete töötlemise protsessiga seonduvalt osana sotsiaalmeedia platvormide toimimisest, st kogu kasutajakonto elutsüklile. Euroopa Andmekaitsenõukogu toob konkreetseid näiteid tumedate mustrite kohta järgmiste kasutusjuhtude puhul selle olelusringi jooksul: registreerimine, st registreerimisprotsess; juhtumid, mis on seotud privaatsusteate, kaasvastutava töötleja ja andmesidega seotud rikkumistega; nõusoleku ja andmekaitse haldamine; andmesubjekti õiguste kasutamine sotsiaalmeedia kasutamise ajal; ja lõpuks sotsiaalmeedia konto sulgemine. Seoseid isikuandmete kaitse üldmääruse sätetega selgitatakse kahel viisil: esiteks selgitatakse igas kasutusjuhtumis üksikasjalikumalt, millised eespool nimetatud isikuandmete kaitse üldmääruse sätted on selle jaoks eriti olulised. Teiseks selgitatakse tumedaid mustreid käsitlevates lõikudes, kuidas need rikuvad isikuandmete kaitse üldmäärust.

Soovitused parimate tavade kohta

Lisaks tumedate mustrite näidetele on suunistes esitatud ka parimad tavad iga kasutusjuhtumi lõpus. Need sisaldavad konkreetseid soovitusi kasutajaliideste väljatöötamiseks, mis hõlbustavad isikuandmete kaitse üldmääruse tõhusat rakendamist.

Tumedate mustrite kategooriate kontrollnimekiri

Tumedate mustrite kategooriate kontrollnimekiri on esitatud käesolevate suuniste lisas. See annab ülevaate eespool nimetatud kategooriatest ja tumedate mustrite tüüpidest ning loetelu näidetest iga tumeda mustri kohta, mida on nimetatud kasutusjuhtudel.

Suunis (eesti k.)

Suunis (ingl.k)

Last updated: 24.01.2024