Een start van de zomer met recordsancties en nieuwe steunmaatregelen.

Legal Watch – juli-augustus 2019.

Het begin van de zomer brengt hogere temperaturen met zich mee, maar ook een hoger aantal boetes voor het overtreden van privacyregels.

De ICO, de Britse toezichthouder, maakte met name bekend dat zij twee sancties ('notice of intention to fine') wil opleggen met een totaalbedrag van ruim 280 miljoen pond: aan de hotelgroep Marriott International voor een bedrag van omgerekend 111 miljoen euro en aan British Airways voor een bedrag van ruim 200 miljoen euro.

In beide gevallen ging het bij de AVG-overtredingen om hacks die mogelijk waren door fouten in de gegevensbeveiliging, waardoor de gegevens van honderdduizenden klanten op straat kwamen te liggen.

Op 19 juli legde de ICO een Londense makelaar een boete van £80 miljoen op omdat deze gedurende twee jaar de gegevens van ruim 18.000 klanten niet had veiliggesteld.

Opgemerkt dient te worden dat de meeste recente sancties gericht zijn op inbreuken op de beveiliging en illegale toegang binnen en buiten bedrijven.

Aan de andere kant van de Atlantische Oceaan heeft de Amerikaanse Federal Trade Commission een schikking van vijf miljard dollar bereikt met Facebook vanwege het schenden van de privacy van internetgebruikers.

Deze boete is ongekend in de geschiedenis van de FTC en is nog steeds een van de hoogste die ooit door de Amerikaanse staat is opgelegd.

Het blijft echter relatief vergeleken met Facebooks jaarlijkse omzet van $ 55,8 miljard. In haar persbericht van 24 juli gaat de FTC dieper in op de redenen voor haar actie, die verband houden met het niet naleven van de gegevensbeschermingsbevelen uit 2012.

Naast deze boete wordt het bedrijf ook gedwongen om zijn model voor gegevensbescherming te herzien. Zo komt er een onafhankelijker toezichthoudend comité van de CEO en worden er strengere regels gesteld aan het beheer van applicaties van derden en gebruikersgegevens, met name op het gebied van gezichtsherkenning, wachtwoordbeheer en gegevensversleuteling.

Toezichthouders maken steeds meer gebruik van hun controlebevoegdheden en letten er tegelijkertijd op dat de werkwijze van ondernemingen binnen het wettelijk kader blijft.

Zo heeft de CNIL op 18 juli de regels bekendgemaakt die van toepassing zijn op cookies, dit zijn tracers die op de terminals van gebruikers worden geïnstalleerd en die met name gerichte reclame mogelijk maken.

De CNIL actualiseert de vereisten die nodig zijn om toestemming van internetgebruikers te verkrijgen: deze toestemming kan niet langer impliciet zijn, maar moet het resultaat zijn van een onmiskenbare handeling van het individu.

Cookiewalls, die de toegang tot een site verhinderen als u geen cookies accepteert, zijn verboden.

Deze interpretatie van de geldigheid van toestemming werd reeds verduidelijkt door het Europees Comité voor gegevensbescherming in een persbericht van mei 2018.

Dit wordt bevestigd door de bewoordingen van de AVG en moet verder worden uitgelegd in de toekomstige verordening ‘privacy en elektronische communicatie’, die Richtlijn 2002/58/EG ‘ePrivacy’ zal vervangen.

Een nieuwe aanbeveling van de CNIL zal de praktische regelingen voor het verkrijgen van toestemming verduidelijken en bedrijven krijgen een aanpassingsperiode van zes maanden om hen in staat te stellen zich aan de wet te houden.

En ook:

In Europa:

Op 24 juli publiceerde de Europese Commissie een rapport waarin, een jaar later, de balans werd opgemaakt van de implementatie van de AVG.

Er wordt ingegaan op de acties die de toezichthoudende autoriteiten ondernemen, de versterking van hun samenwerking en de nalevingsinspanningen van de particuliere sector.

De Commissie kondigt aan dat zij deze inspanningen wil ondersteunen met verschillende instrumenten, zoals standaardcontractbepalingen, gedragscodes en certificeringsmechanismen, met bijzondere aandacht voor het MKB.

Vanuit internationaal perspectief zou Zuid-Korea het volgende land kunnen zijn dat profiteert van een adequaat beschermingsniveau dat de gegevensoverdracht vergemakkelijkt. De Commissie overweegt andere vormen van multilaterale overeenkomsten om de internationale gegevensuitwisseling te vergemakkelijken.

In de wereld:

• VERENIGDE STATEN:

In de Amerikaanse Senaat wordt opgeroepen tot het aannemen van een federale wet op gegevensbescherming.

Senator Ron Wyden heeft in november 2018 wetgeving met deze strekking ingediend.

Op staatsniveau is Californië een pionier: de CCPA, de California Consumer Privacy Act, treedt in werking op 1 januari 2020, maar is momenteel onderhevig aan wijzigingen door de Amerikaanse Senaat. De wet wordt vaak vergeleken met de AVG, met name wat betreft het recht op informatie en bezwaar van betrokkenen, maar verschilt met name in de reikwijdte, die zich richt op consumentenbescherming.

Azië:

In de eerste helft van juli vond in Singapore een reeks evenementen plaats rondom de bescherming van persoonsgegevens. Hierbij kwamen professionals uit de sector op verschillende locaties bijeen.

 De discussies op het Asia Pacific Forum werden samengevat door de IAPP.

Ze benadrukken de verantwoordingsplicht van bedrijven en het toezicht door regelgevende instanties.