Juridisch overzicht nr. 72 – juni 2024.  

Communicatie en marketing op sociale media: wat zijn de regels voor professionals?

Sociale netwerken vormen een databron die gebruikt kan worden om potentiële klanten te benaderen.

Het gebruik van deze gegevens, of deze nu openbaar toegankelijk zijn op het sociale netwerk of via het opbouwen van een netwerk van contacten, blijft onderworpen aan de wet.

Het moet voldoen aan de beginselen van de AVG en de Europese richtlijn inzake elektronische communicatie (ePrivacy-richtlijn).

De regels zijn bijvoorbeeld anders als u contact opneemt met een bedrijf ("B2B") of met een natuurlijke persoon ("B2C").

De verwachtingen van mensen zullen ook verschillen afhankelijk van of er al een bestaande relatie is: besteed daarom extra aandacht aan het verzamelen van informatie over mensen die geen deel uitmaken van je netwerk (verzamel bijvoorbeeld namen van potentiële klanten in discussiegroepen).

Het is belangrijk om drie essentiële principes in gedachten te houden: transparantie, respect voor de rechten van de betrokkenen en het inspelen op hun verzoeken.

• Geef informatie over de verzamelde gegevens.

Het wordt aanbevolen:

• Om de effecten van een online communicatieactie, zoals een e-mailcampagne, te voorspellen, kan men aan het einde van het bericht een notitie toevoegen waarin met name de herkomst van de gegevens en het doel van de communicatie worden uitgelegd.
• Het doel is om een artikel of een functionele link te plaatsen die leidt naar een informatiepagina over de gegevensbeheerder en de rechten van betrokkenen.
• Een eenvoudige contactmogelijkheid bieden (speciaal e-mailadres, contactformulier of privébericht op sociale netwerken) om verzoeken tot inzage, correctie of verwijdering van gegevens mogelijk te maken.
• Respecteer de rechten van individuen en verkrijg waar nodig hun toestemming.

Sommige prospectietechnieken kunnen ingrijpender zijn dan andere.

Op LinkedIn kun je bijvoorbeeld met InMail (tegen betaling) berichten rechtstreeks versturen naar de inbox van elke gebruiker die geen deel uitmaakt van je contactennetwerk.

Sommige marketingsoftware biedt ook de mogelijkheid om contacten (inclusief profielen en foto's) te importeren vanuit sociale netwerken zoals LinkedIn, Facebook, Twitter, Viadeo, YouTube of Klout voor verdere verwerking.

Deze prospectiemethoden moeten voldoen aan de regels voor e-mailmarketing, zoals vastgelegd in de AVG en de ePrivacyrichtlijn.

De volgende principes worden derhalve in herinnering gebracht:

• Naleving van de opt-in-procedure, oftewel het verkrijgen van voorafgaande toestemming van de ontvanger van de advertentie: dit is het geval bij het versturen van B2C-advertenties via e-mail, sms, mms, geautomatiseerde telefoongesprekken of fax.
• Respect voor de opt-out-mogelijkheid, die het mogelijk maakt om reclame te versturen wanneer de ontvanger geen bezwaar heeft gemaakt: dit geldt voor B2B-reclame via e-mail en B2C-reclame via post of telefoon.
• Organiseer de afhandeling van verzoeken van de betrokkenen.

Dit houdt in dat er planning nodig is voor:

• Een typische reactie op internetgebruikers die bijvoorbeeld hun recht op bezwaar uitoefenen en/of toegang tot hun gegevens opvragen.
• Een interne procedure om deze verzoeken zo snel mogelijk te verwerken, waarbij de standaardtermijn volgens de AVG één maand bedraagt.

De snelheid en effectiviteit van de reactie zijn belangrijk, omdat ze bijdragen aan de online reputatie van de gegevensbeheerder.

 

De Franse Autoriteit voor Gegevensbescherming (CNIL) heeft aangekondigd dat zij controles zal uitvoeren in verband met de Olympische en Paralympische Spelen. om de privacy van de toeschouwers te waarborgen.

Het zal zich met name richten op "augmented" camera's, QR-codes voor beveiligde zones, ticketsystemen en vrijwilligersgegevens.

De CNIL registreerde 167 meldingen van GDPR-schendingen na de Europese verkiezingen.

Het herinnert de politieke partijen, in het kader van de vervroegde parlementsverkiezingen, aan de te respecteren regels en informeert hen dat er controles zullen worden uitgevoerd op basis van het aantal en de aard van de meldingen die in het kader van de verkiezingen worden ontvangen.

Na de publicatie van praktische handleidingen afgelopen april, Op 10 juni publiceerde de CNIL een tweede reeks factsheets en een vragenlijst over de regulering van de ontwikkeling van systemen voor kunstmatige intelligentie (AI).

 Deze nieuwe instrumenten zijn bedoeld om professionals te helpen innovatie en respect voor mensenrechten met elkaar te verzoenen, en richten zich met name op de juridische grondslag van legitiem belang, transparantie, mensenrechten, data-annotatie en de veiligheid van de ontwikkeling van een AI-systeem.

De factsheets zijn tot 1 september 2024 openbaar ter inzage.

Tot slot onderzoekt de CNIL in een studie die op 4 juli is gepubliceerd. de ontwikkeling van alternatieven voor trackingtechnieken via cookies van derden en over de gevolgen daarvan (zie ook hieronder de vragen die Google's "privacy sandbox" oproept).

 

Europese instellingen en organen

Op 1 juli heeft de Europese Commissie Meta op de hoogte gesteld van haar voorlopige bevindingen dat het advertentiemodel "betalen of toestemming geven" niet voldoet aan de Wet op de digitale markten. (DMA, art. 5, paragraaf 2).

Deze bevindingen bevestigen de resultaten die het Europees Comité voor gegevensbescherming (EDPB) afgelopen april publiceerde.

Volgens de Commissie dwingt deze binaire keuze gebruikers ertoe in te stemmen met de combinatie van hun persoonlijke gegevens en biedt hen geen minder gepersonaliseerde, maar gelijkwaardige versie van Meta's sociale netwerken.

Deze voorlopige bevindingen doen geen afbreuk aan de uitkomst van het onderzoek.

Meta heeft nu de mogelijkheid om haar recht op verdediging uit te oefenen en schriftelijk te reageren.

De commissie zal haar onderzoek binnen twaalf maanden na de opening van de procedure, op 25 maart 2024, afronden.

Mochten de voorlopige bevindingen van de Commissie uiteindelijk worden bevestigd, dan kan de Commissie boetes opleggen tot maximaal 10 % van de totale wereldwijde omzet van Meta en 20 % in geval van herhaalde overtredingen.

In het kader van de Verordening inzake gegevensbeheer (DGA) heeft de Europese Commissie de lijst gepubliceerd van de eerste "gegevensbemiddelaars" die door de lidstaten aan haar zijn aangemeld.

Data-intermediairs fungeren als neutrale derde partijen die particulieren en bedrijven in contact brengen met data-gebruikers.

Vijf bedrijven werden geregistreerd, waarvan drie in Frankrijk: AGDATAHUB, Hub One DataTrust en M-ITRUST. De andere twee werden aangemeld door Finland en Hongarije (via de AFCDP).

Het Europees Comité voor gegevensbescherming (EDPB) lanceerde het project "AI Auditing" op 27 juni. Dit heeft tot doel gegevensbeschermingsautoriteiten (DPA's) te helpen bij het inspecteren van AI-systemen door een methodologie te definiëren in de vorm van een checklist voor het controleren van een algoritme en stelt instrumenten voor die de transparantie ervan zouden verbeteren.

De Europese Toezichthouder voor Gegevensbescherming (EDPS) publiceerde op 3 juni zijn richtlijnen over "generatieve kunstmatige intelligentie en de bescherming van persoonsgegevens". Het doel is EU-instellingen, -organen, -bureaus en -agentschappen te voorzien van praktisch advies en instructies over de verwerking van persoonsgegevens bij het gebruik van generatieve kunstmatige intelligentiesystemen, en hun naleving van de wettelijke kaders voor gegevensbescherming te vergemakkelijken.

De Internationale Werkgroep voor Gegevensbescherming in de Technologie (IWGDPT) heeft op 5 juni een werkdocument over gezichtsherkenningstechnologie aangenomen.

Het document beschrijft de gebruiksmogelijkheden in de private en publieke sector en presenteert zowel de risico's als de praktische aanbevelingen voor een toepassing die voldoet aan de wetgeving inzake gegevensbescherming.

Op 20 juni heeft het Hof van Justitie van de Europese Unie (CJEU) in zaak C-590/22 geoordeeld dat De vrees van een betrokkene dat zijn of haar persoonsgegevens aan derden zijn bekendgemaakt, is voldoende om recht te geven op schadevergoeding.als deze vrees, met al zijn negatieve gevolgen, daadwerkelijk bewezen wordt.

Het is niet nodig aan te tonen dat deze gegevens daadwerkelijk aan derden zijn doorgegeven om deze vergoeding te rechtvaardigen (via GDPR-nieuws).

Het Hof heeft op 20 juni in de gevoegde zaken C 182/22 en C 189/22 – Schaalbaar Kapitaal – ook overwogen dat De morele schade die wordt veroorzaakt door een datalek is, per definitie, niet minder belangrijk dan de fysieke schade..

Bovendien moet er, om een gebeurtenis als identiteitsdiefstal te kunnen classificeren, daadwerkelijk sprake zijn van misbruik van persoonsgegevens door een derde partij.

In een uitspraak van 6 juni (Bersheda en Rybolovlev tegen Monaco) heeft het Europees Hof voor de Rechten van de Mens geoordeeld dat de Onderzoek uitgevoerd door de onderzoeksrechter op de mobiele telefoon van een advocaat En het massale en willekeurige verzamelen van persoonsgegevens – inclusief gegevens die eerder door de aanvrager waren verwijderd – ging de bevoegdheid van deze rechter te buiten en ging niet gepaard met waarborgen om de status en het beroepsgeheim van de aanvrager als advocaat te respecteren.

Onder druk van het maatschappelijk middenveld en het Europese orgaan dat verantwoordelijk is voor de uitvoering van de Digital Services Act (DSA), LinkedIn heeft de advertentietargeting op basis van gevoelige persoonlijke gegevens van gebruikers van het platform verwijderd..

Dit soort gerichte acties werd beschouwd als een schending van de DSA.

Het bedrijf Meta bevestigde medio juni dat het zijn plannen om AI-systemen te trainen met gebruikersgegevens in de EU en het VK tijdelijk had stopgezet.

Het project richtte zich op gebruikersgegevens van Facebook, Instagram en Threads.

Dit besluit volgt op actie van de Ierse gegevensbeschermingscommissie, die optreedt namens verschillende gegevensbeschermingsautoriteiten in de EU, en met name de autoriteit van Hamburg.

 

Nieuws uit de lidstaten van Europa.

Belgische APD Op 3 juni werd een boete van 172.000 euro opgelegd aan een bedrijf dat niet had voldaan aan een verzoek om gegevens te verwijderen en direct marketingmails bleef versturen.

De argumenten van de gegevensbeheerder, die erop gericht waren de schuld af te schuiven op de functionaris voor gegevensbescherming (DPO), werden door de DPA niet in overweging genomen: het is de verantwoordelijkheid van de gegevensbeheerder om te reageren op verzoeken om inzage en ervoor te zorgen dat de DPO over voldoende middelen beschikt.

In GriekenlandDe APD heeft boetes van respectievelijk 400.000 en 40.000 euro opgelegd aan het ministerie van Binnenlandse Zaken en een lid van het Europees Parlement voor het versturen van ongevraagde politieke berichten. De e-mailadressen van de betrokken personen waren door het ministerie van Binnenlandse Zaken aan het Europarlementslid verstrekt.

In Luxemburg, De APD was van mening dat het gebruik van videobewaking als rechtvaardiging voor het ontslag van een werknemer in strijd was met het beginsel van doelbinding van de AVG, indien de bewakingscamera's oorspronkelijk waren geïnstalleerd om de veiligheid van werknemers te waarborgen.

In Nederland, Een rechtbank heeft Microsoft, LinkedIn en Xandr verboden om zonder toestemming van de gebruiker trackingcookies op websites van derden te plaatsen en heeft een boete van 1.000 euro per bedrijf opgelegd voor elke dag dat het bedrijf zich niet aan de uitspraak houdt.

De rechtbank oordeelde dat deze platforms verantwoordelijk blijven voor het verkrijgen van geldige toestemming, zelfs wanneer ze deze verzameling uitbesteden aan websites van derden die hun trackingtechnologieën integreren.

In DenemarkenDe APD heeft de stad Kopenhagen berispt omdat zij er niet in is geslaagd te voorkomen dat 37.500 onbevoegde werknemers toegang kregen tot de persoonsgegevens van 3,7 miljoen mensen.

Letse APD Een bedrijf dat fotografiediensten aanbiedt in een pretpark heeft een boete van 1.000 euro gekregen.

Het bedrijf maakte foto's van bezoekers op basis van impliciete toestemming, wat niet als een positieve handeling kan worden beschouwd.

In ItaliëDe APD heeft een bedrijf een boete van 100.000 euro opgelegd voor het illegaal verwerken van telefoonnummers voor telemarketingdoeleinden.

De APD was van mening dat een gegevensverwerker zijn verantwoordelijkheden en verplichtingen onder de AVG niet via een contractuele bepaling aan de onderaannemer kan overdragen.

Zweedse ODA Avanza Bank AB kreeg een boete van 1.318.955,55 euro (15 miljoen SEK) opgelegd wegens schending van artikel 5(1)(f) en artikel 32 van de AVG. De onbedoelde activering van twee Meta Pixel-functies resulteerde namelijk in de ongeoorloofde overdracht van persoonsgegevens aan Meta Pixel.

In Polen is de ODA Een bedrijf kreeg een boete van 54.600 euro opgelegd nadat het verlies van een USB-stick met onversleutelde werknemersgegevens tot een datalek leidde.

13 juni De ngo NOYB heeft een klacht ingediend bij de Oostenrijkse Autoriteit voor Gegevensbescherming (APD) over de werkwijze van Google met betrekking tot het verzamelen van persoonsgegevens via de "privacy sandbox".

De ngo wijst erop dat, sinds Google in september 2023 aankondigde dat het geleidelijk aan cookies van derden uit zijn Chrome-browser zou verwijderen, gebruikers steeds meer worden aangemoedigd om een zogenaamde 'advertentieprivacyfunctie' te activeren, waarmee Google hen in werkelijkheid kan volgen.

Op 4 juni diende NOYB ook een klacht in Oostenrijk in tegen Microsoft, omdat de "365 Education"-diensten van het bedrijf de gegevensbeschermingsrechten van kinderen zouden schenden.

Volgens de ngo verklaarde Microsoft, toen studenten hun rechten onder de AVG wilden uitoefenen, dat scholen "verantwoordelijk" waren voor hun gegevens, hoewel scholen geen controle hebben over de systemen van Microsoft.

De brancheorganisatie Eu Travel Tech heeft eind mei een klacht ingediend bij de Franse en Belgische gegevensbeschermingsautoriteiten tegen Ryanair, vanwege de recente invoering door de luchtvaartmaatschappij van een verplichting om biometrische gegevens van klanten te verwerken voor toegang tot boekingsbeheer en online incheckfuncties.

De vereniging is van mening dat dit biometrische verificatieproces de beginselen van rechtmatigheid, eerlijkheid en transparantie van de AVG schendt (via de AFCDP).

 

De OESO publiceerde op 26 juni een Rapport over AI, databeheer en privacybescherming.

Dit rapport geeft een overzicht van nationale en regionale initiatieven en suggereert mogelijke gebieden voor samenwerking.

Het rapport beoogt, door te pleiten voor betere internationale samenwerking, de ontwikkeling van AI-systemen te sturen die de privacy respecteren en ondersteunen.

De OESO publiceerde op 19 juni ook een Werkdocument met de titel "Naar digitale veiligheid door ontwerp voor kinderen".

Het document richt zich op de acties die aanbieders van digitale diensten moeten ondernemen en stelt acht belangrijke maatregelen voor, waaronder praktische instrumenten, maatregelen om een veiligheidscultuur te bevorderen en strategieën voor schadebeperking.

Deze elementen worden geïllustreerd door casestudies, die de noodzaak benadrukken om een aanpak te hanteren die is aangepast aan de context.

Het California Privacy Agency (CPPA) en de CNIL hebben een samenwerkingsovereenkomst ondertekend., op 25 juni 2024 in Parijs.

De CNIL geeft aan dat de twee autoriteiten hun krachten willen bundelen om de bescherming van persoonsgegevens van Franse en Californische burgers te versterken.

Nvidia (een van de belangrijkste leveranciers van halfgeleiders voor AI-computing), Microsoft en OpenAI zouden het onderwerp zijn van een onderzoek. antitrustonderzoek in de Verenigde Staten.

Volgens een bericht van Politico zullen het Amerikaanse ministerie van Justitie (DOJ) en de Federal Trade Commission (FTC) samenwerken aan deze kwestie. Het DOJ zal zich richten op Nvidia, terwijl de FTC de samenwerking tussen Microsoft en OpenAI zal onderzoeken om te bepalen of zij een oneerlijk concurrentievoordeel hebben.

Japan heeft op 12 juni een wet aangenomen die vergelijkbaar is met de Europese verordening inzake digitale markten (DMA).

De tekst zou onder meer de "verplichtingen om interoperabiliteit, transparantie en dataportabiliteit te waarborgen" omvatten.

De wet treedt eind december 2025 in werking.

Het Amerikaanse bedrijf Dropbox maakte begin mei bekend dat het slachtoffer was geworden van een cyberaanval..

De kwaadwillige inbraak betreft het beveiligde platform voor elektronische documentondertekening, Dropbox Sign, voorheen HelloSign.

De gestolen gegevens omvatten namen, e-mailadressen, versleutelde wachtwoorden, betaalgegevens en authenticatiegegevens.

Het bedrijf beweert de wachtwoorden van alle gebruikers te hebben gereset en alle sessies te hebben verbroken (via AFCDP).