Juridisch Nieuws nr. 59 – mei 2023.

Meta-sanctie: 1,2 miljard euro... en wat dan?

De boete die de Ierse autoriteiten op 12 mei hebben opgelegd aan Meta, het moederbedrijf van Facebook, is de hoogste ooit opgelegd door een gegevensbeschermingsautoriteit sinds de AVG van kracht is geworden, en dat terwijl de verordening haar vijfde jaar van toepassing viert.

De kern van deze beslissing wordt gevormd door het volgende: Facebook draagt gegevens van zijn Europese gebruikers over naar de Verenigde Staten, een land dat niet langer wordt beschouwd als een land dat een adequaat niveau van bescherming biedt. sinds de uitspraak van het Hof van Justitie van de Europese Unie van 16 juli 2020 (de Schrems II-uitspraak).

Deze nieuwe sanctie is tevens een symbool van samenwerking tussen gegevensbeschermingsautoriteiten, aangezien de beslissing van de Ierse autoriteit het resultaat is van een lange en moeizame procedure, en niet te vergeten een touwtrekkerij met haar Europese tegenhangers.

De APD zag zich daarom genoodzaakt de reikwijdte van haar besluit te verbreden en een aanzienlijke boete op te leggen.

Volgens de ngo NOYB en haar voorzitter Max Schrems, die de klacht indiende, valt er niet per se iets te vieren.

De procedure duurde drie jaar, waarbij de nationale overheid het proces stelselmatig in verschillende fasen blokkeerde, en resulteerde in meer dan tien miljoen euro aan juridische kosten… voor een boete die naar de Ierse staat gaat.

 

Wat zijn de concrete gevolgen voor Meta?

Het besluit omvat een overgangsperiode: het bedrijf heeft tot half oktober de tijd om te stoppen met het overdragen van gebruikersgegevens naar de Verenigde Staten.

Het bedrijf moet ook alle gegevens verwijderen die vóór half november al vanuit zijn Amerikaanse datacenters zijn overgedragen.

Hoewel het bedrijf heeft gedreigd zijn diensten in Europa stop te zetten, is de kans dat deze aankondiging daadwerkelijk wordt gedaan klein, aangezien Europa na de Verenigde Staten de grootste bron van inkomsten is, mede dankzij de aanwezigheid van diverse datacenters op Europees grondgebied.

Het bedrijf kondigde aan dat het in nationaal beroep zou gaan tegen de Ierse autoriteit en dat het zou verzoeken om opschorting van het bevel totdat de juridische procedure is afgerond.

Meta probeert waarschijnlijk tijd te winnen en hoopt dat er vóór de herfst een nieuwe trans-Atlantische overeenkomst komt die de gegevensoverdracht naar de Verenigde Staten regelt.

Men moet echter enerzijds bedenken dat een nieuwe overeenkomst eerdere overdrachten en reeds bewezen wetsovertredingen niet zal legaliseren, en anderzijds dat de lat hoog ligt voor een toekomstige trans-Atlantische overeenkomst.

Het huidige project heeft al felle kritiek gekregen van het Europees Parlement en het is niet zeker of het de toetsing door het Hof van Justitie van de Europese Unie (CJEU) zal doorstaan.

 

Impact op GAFAM's en gegevensbeheerders in het algemeen

De Amerikaanse wetgeving inzake surveillance, die de basis vormt voor de beslissingen van de Ierse autoriteit, het Europees Comité voor gegevensbescherming (EDPB) en het Hof van Justitie van de EU, vormt een probleem voor alle grote Amerikaanse aanbieders van clouddiensten, zoals Microsoft, Google en Amazon.

Het is belangrijk om te weten dat de relevante Amerikaanse wetgeving inzake surveillance (FISA 702) uiterlijk in december 2023 opnieuw moet worden goedgekeurd.

Hoewel verschillende Europese toezichthoudende autoriteiten het gebruik van Amerikaanse diensten waarbij gegevens worden overgedragen al illegaal hebben verklaard, gingen hun beslissingen niet gepaard met een boete van een dergelijke omvang als die welke aan Meta is opgelegd.

Dit zou grote Amerikaanse technologiebedrijven en iedereen die gebruikmaakt van Amerikaanse "cloud"-diensten ertoe kunnen aanzetten hun werkwijzen te herzien en op zijn minst een impactanalyse van de gegevensoverdracht uit te voeren.

 

Het blijft echter noodzakelijk dat de gegevensbeschermingsautoriteiten voldoende afschrikwekkend optreden bij de toepassing van de AVG.

Ze worden nu bekritiseerd vanwege hun gebrek aan effectiviteit, zoals blijkt uit het recente rapport van de Irish Council for Civil Liberties (ICCL).

Uit zijn analyse blijkt dat de AVG zelden wordt toegepast op grote technologiebedrijven.

Weinig grote Europese zaken zouden tot serieuze handhavingsmaatregelen hebben geleid: "Het register van definitieve beslissingen van het Europees Comité voor gegevensbescherming (EDPB) laat zien dat de meeste (64) van de 159 handhavingsmaatregelen die eind 2022 zijn genomen, slechts berispingen waren."

Het onderzoek wijst, niet geheel verrassend, met de vinger naar de Ierse gegevensbeschermingscommissie, aangezien 75 van haar onderzoeksbeslissingen in EU-zaken door een meerderheidsstem van het Europees Comité voor gegevensbescherming zijn teruggedraaid.

De context rondom rechtsmiddelen evolueert in de richting van een betere bescherming van individuen: de Europese richtlijn inzake collectieve rechtsmiddelen wordt deze zomer geïmplementeerd, waardoor Europese gebruikers een extra mogelijkheid krijgen om collectieve acties te ondernemen in geval van een GDPR-schending in de hele Europese Unie.

Nederland, waar dit soort rechtsmiddelen al zijn toegestaan, ziet een toename van rechtszaken.

De Nederlandse consumentenorganisatie "Consumentenbond" mobiliseert momenteel Nederlandse Facebook-gebruikers om een klacht in te dienen over gegevensoverdracht tussen de Europese Unie en de Verenigde Staten.

Ten slotte heeft een recente uitspraak van het Hof van Justitie van de EU (Österreichische Post AG) de weg vrijgemaakt voor "kleine vorderingen" wegens schending van de privacy. De uitspraak bevestigt dat er geen drempelwaarde voor de ernst van de geleden morele schade vereist is, waardoor gebruikers schadevergoeding kunnen eisen voor schendingen die bijvoorbeeld betrekking hebben op massale surveillance door de Verenigde Staten.

Dit zou leiden tot schadeclaims die de huidige boetes ver overstijgen.

 

En ook

     

• Op 16 mei publiceerde de CNIL een actieplan voor de inzet van AI-systemen die de privacy van personen respecteren.

Het is de bedoeling dat het zijn werk aan augmented reality-camera's uitbreidt en zijn activiteiten uitbreidt naar generatieve AI en grote taalmodellen (LLM's), evenals afgeleide toepassingen (waaronder chatbots).

Dit werk zal ook bijdragen aan de voorbereiding op de inwerkingtreding van het ontwerp van de Europese verordening inzake kunstmatige intelligentie.

• De CNIL heeft het bedrijf DOCTISSIMO een boete van 380.000 euro opgelegd.

De Commissie constateerde diverse tekortkomingen in de AVG, met name wat betreft de bewaartermijnen van gegevens, het verzamelen van gezondheidsgegevens via online tests, gegevensbeveiliging en de methoden voor het plaatsen van cookies op de apparaten van gebruikers.

• De CNIL publiceerde op 23 mei haar activiteitenverslag over 2022.

Het document somt de hoogtepunten van het afgelopen jaar op, waaronder de versterking van de steun aan bedrijven en overheden, publieke informatiecampagnes en digitaal onderwijs voor jongeren, de afhandeling van klachten en repressieve maatregelen.

• De Raad van State heeft de opname online gezet van de discussiedag die op 10 februari 2023 plaatsvond, in samenwerking met de CNIL en de Alliance IHU France, met als thema "AI en big data: hoe zullen ze het medisch onderzoek en de medische praktijk van morgen revolutioneren?".

Het volgde op het onderzoek van de Staatsraad "Kunstmatige intelligentie en openbaar handelen" uit augustus 2022.

• In een uitspraak van 23 april 2023 oordeelde het Hof van Beroep van Parijs dat WhatsApp-berichten als sms-berichten moeten worden beschouwd wanneer ze onder dezelfde voorwaarden worden uitgewisseld.

In een geschil tussen een bedrijf en voormalige werknemers oordeelde de rechtbank dat de werkgever toegang had tot niet nader gespecificeerde "persoonlijke" berichten uit een WhatsApp-groep op de werktelefoons van de voormalige werknemers.

 

Europese instellingen en organen

• Nu de AVG zijn 5e verjaardag viert, laten talrijke onderzoeken een gemengd beeld zien van de implementatie ervan.

De ngo noyb publiceert hierover een overzicht van de 800 GDPR-zaken die zij de afgelopen vijf jaar bij gegevensbeschermingsautoriteiten (DPA's) heeft ingediend, waarvan er 86 nog in afwachting zijn van een beslissing.

De ngo heeft meer dan 60 procedurele problemen vastgesteld die de toepassing van de AVG belemmeren.

Hoewel de boete die Meta is opgelegd de krantenkoppen haalt, is de ngo van mening dat gegevensbeschermingsautoriteiten de AVG over het algemeen niet tijdig toepassen.

• Uit een onderzoek van het Future of Privacy Forum (FPF) blijkt dat schendingen van artikel 25 van de AVG betreffende "privacy by design" de hoogste boetes hebben opgeleverd.

De studie is gebaseerd op meer dan 90 gevallen en legt uit dat "sommige gegevensbeschermingsautoriteiten artikel 25 toepassen voordat andere AVG-schendingen plaatsvinden of zelfs voordat de beoogde gegevensverwerking plaatsvindt."

• Het Europees Comité voor gegevensbescherming (EDPB) heeft zojuist Anu Talus, de Finse commissaris voor gegevensbescherming, tot voorzitter gekozen.

De nieuwe voorzitter vervangt de aftredende voorzitter, Andrea Jelinek, en zal de komende vijf jaar leiding geven aan het werk van de commissie.

• Het Europees Comité voor gegevensbescherming (EDPB) publiceert een verzameling jurisprudentie over het recht op bezwaar en verwijdering op grond van artikel 17 van de AVG. Het bespreekt een selectie van voorbeeldbeslissingen uit zijn openbare register.
• De stuurgroep "Transparantie- en toestemmingskader" van IAB Europe heeft versie 2.2 van haar referentiekader gepubliceerd.

De belangrijkste wijzigingen omvatten het afschaffen van de wettelijke grondslag van gerechtvaardigd belang voor het personaliseren van advertenties en content, het verbeteren van de informatie die aan eindgebruikers wordt verstrekt en het verplichten van aanbieders om aanvullende informatie te verstrekken over hun gegevensverwerkingsactiviteiten.

• Een groep van 30 IT- en cybersecurity-experts uit Europa heeft een open brief geschreven aan de leiders van de EU.

Zij uiten hun bezorgdheid over de ernstige risico's die de door de Europese Commissie voorgestelde verordening inzake seksueel misbruik van kinderen (CSA) met zich meebrengt voor de vertrouwelijkheid en veiligheid van alle communicatie, alsook voor de algehele gezondheid van het internet en het informatie-ecosysteem.

 

Nieuws uit de lidstaten van Europa.

• De Duitse federale autoriteit voor gegevensbescherming (BfDI) heeft bevestigd dat het beoordelen van technologische ontwikkelingen zoals generatieve AI vanuit een gegevensbeschermingsperspectief tot haar takenpakket behoort.
• De Deense autoriteit voor gegevensbescherming heeft een gegevensverwerker berispt omdat deze persoonsgegevens deelde met Meta Ireland zonder zich er eerst van te verzekeren dat Meta Ireland de AVG naleefde bij de overdracht van gegevens naar Meta-platformen in de Verenigde Staten.
• Naar aanleiding van een grootschalig datalekschandaal en een klacht van de ngo noyb, heeft de Maltese Autoriteit voor Gegevensbescherming (DPA) C-Planet bevolen te voldoen aan een verzoek om inzage in gegevens en de bron van de persoonsgegevens die het bedrijf beheerde openbaar te maken. In dit geval waren de gegevens openbaar gemaakt als onderdeel van een datalek met betrekking tot de politieke meningen van 335.000 kiezers op het eiland.
• De Nederlandse Consumentenbond heeft een collectieve rechtszaak aangespannen tegen Google omdat het bedrijf de locatie, het surfgedrag en het app-gebruik van gebruikers zonder geldige toestemming heeft gevolgd. Google moet alle gebruikers die sinds 1 maart 2012 van zijn diensten gebruik hebben gemaakt, compenseren.
• De Belgische Autoriteit voor Gegevensbescherming (APD) heeft een verbod ingesteld op de overdracht van belastinggegevens van in België woonachtige Amerikaanse burgers naar de Verenigde Staten. Volgens de APD is de FATCA-overeenkomst, die dergelijke overdrachten toestaat, niet in overeenstemming met de AVG en had de Belgische belastingdienst een effectbeoordeling moeten uitvoeren.
• De Noorse privacyberoepscommissie heeft geoordeeld dat een autoverhuurplatform een wettelijke basis heeft op grond van artikel 6(1)(f) van de AVG om de kredietwaardigheid van een betrokkene te beoordelen teneinde het financiële risico van het bedrijf te verminderen.
• Naar aanleiding van een anonieme klacht tegen een incassobureau heeft de Kroatische Autoriteit voor Gegevensbescherming (APD) een boete van 2.265.000 euro opgelegd wegens gebrek aan beveiligingsmaatregelen, toestemming en schending van de informatieplicht door de verwerkingsverantwoordelijke.
• Naar aanleiding van een klacht heeft de Oostenrijkse Autoriteit voor Gegevensbescherming (APD) op 10 mei 2023 een besluit genomen tegen het bedrijf Clearview AI, dat zich bezighoudt met gezichtsherkenning. In het besluit werden schendingen van de AVG (artikelen 5, 6 en 9) vastgesteld, werd de verwerkingsverantwoordelijke bevolen de gegevens van de klager te wissen en een vertegenwoordiger in Oostenrijk aan te stellen overeenkomstig artikel 27 van de verordening.
• Op 15 mei heeft het Information Commissioner's Office (ICO) TikTok een boete van £12.700.000 opgelegd voor een aantal schendingen van de wetgeving inzake gegevensbescherming, waaronder het onrechtmatig gebruik van persoonlijke gegevens van kinderen.

 

• Er is een groeiende trend om AI in een professionele context te gebruiken. Zo gebruikte een Amerikaanse advocaat ChatGPT om naar rechtszaken te zoeken voor een processtuk, en bleken minstens zes van de aangehaalde rechtszaken niet te bestaan – een typisch geval van AI-hallucinatie, waarbij de chatbot informatie verzint.

De rechter die de zaak behandelde schreef: "De rechtbank wordt geconfronteerd met een ongekende situatie. Een pleidooi van de advocaat van de eiser, waarin hij zich verzet tegen een motie tot afwijzing van de zaak, staat vol met verwijzingen naar niet-bestaande jurisprudentie." De advocaat heeft zijn excuses aangeboden en moet nu een tuchtprocedure ondergaan.

• Op 16 mei getuigde Sam Altman, CEO van OpenAI, voor het Amerikaanse Congres.

Nadat hij had erkend dat AI mogelijk "mis kan gaan" en zijn wens had geuit om met de overheid samen te werken om dit te voorkomen, nuanceerde hij zijn opmerkingen: de ChatGPT-ontwikkelaar is van mening dat het belangrijk is om bedrijven en open-sourceprojecten toe te staan bepaalde modellen te ontwikkelen "onder een significante capaciteitsdrempel", zonder zware regelgeving of mechanismen zoals licenties of audits.

• Op 23 mei publiceerde het Amerikaanse Congres een rapport getiteld "Generative Artificial Intelligence and Data Privacy: A Primer": het rapport richt zich op privacykwesties en beleidsoverwegingen die relevant zijn voor het Congres.
• Ook op het gebied van AI publiceerde het Electronic Privacy Information Center (EPIC) een rapport getiteld "Generating Harms – Generative AI's Impact & Paths Forward". Dit document overbrugt de kloof tussen privacy en AI vanuit het perspectief van mogelijke schadelijke gevolgen.
• De Amerikaanse Federal Trade Commission heeft een beleidsverklaring uitgebracht over het verzamelen van biometrische gegevens die niet onopgemerkt is gebleven.

Het agentschap stelt dat het zijn expertise op het gebied van oneerlijke praktijken zal gebruiken om schadelijke verwerking van biometrische informatie te vervolgen, en ontwikkelt een brede interpretatie van biometrische gegevens, waaronder gegevens zoals een gezichtsfoto, zelfs als deze niet worden verwerkt om de betreffende persoon te identificeren.

• Op 18 mei maakte de procureur-generaal van de staat Washington bekend dat Google 39,9 miljoen dollar aan de staat zou betalen vanwege misleidende geolocatiepraktijken.

Google zal ook een reeks hervormingen doorvoeren om de transparantie van zijn geolocatie-instellingen te vergroten.

• De Europese Commissie heeft in samenwerking met ASEAN (Associatie van Zuidoost-Aziatische landen) een handleiding gepubliceerd over de overdracht van persoonsgegevens, waarin standaardcontractbepalingen van beide organisaties worden gebruikt.

De handleiding zal in twee delen worden gepubliceerd: een "Referentiehandleiding" met een vergelijking tussen ASEAN CMC's en EU CSC's, en een "Implementatiehandleiding" met een overzicht van de beste praktijken van bedrijven die voldoen aan de eisen van beide sets contractuele bepalingen.

• Het Ibero-Amerikaanse netwerk van gegevensbeschermingsautoriteiten ("RIPD") kondigde op 8 mei aan dat het een onderzoek naar ChatGPT zou coördineren.
• Op 11 april 2023 publiceerde de Chinese Cyberspace Administration (CAC) een ontwerp van administratieve maatregelen voor generatieve kunstmatige intelligentiediensten ("ontwerp AI-maatregelen").

Dit project zou aansluiten bij de algemene Chinese benadering van gegevensregulering, cyberbeveiliging en online content, die sterk de nadruk legt op het handhaven van de politieke en maatschappelijke orde.

De CAC publiceerde op 30 mei ook richtlijnen voor de registratie van standaardcontracten voor de export van persoonsgegevens.

• Op 23 mei heeft het Pakistaanse ministerie van Informatietechnologie en Telecommunicatie een wetsontwerp over de bescherming van persoonsgegevens afgerond.

Het treedt uiterlijk twee jaar na de datum van publicatie in werking, afhankelijk van wat de federale overheid bepaalt.

• De Braziliaanse autoriteiten hebben opdracht gegeven tot het blokkeren van de in Brazilië veelgebruikte app Telegram, omdat deze volgens hen onvoldoende meewerkt aan een lopend onderzoek naar neonazistische groeperingen.

De rechtbank heeft Telegram een boete opgelegd van ongeveer €200.000 per dag voor het niet verstrekken van deze informatie. De aanvraag bevatte slechts gedeeltelijk de vereiste gegevens.