WhatsApp-beslissing: einde aan straffeloosheid voor GAFAM in Europa?

Juridische Watch nr. 38 – Augustus 2021

WhatsApp-beslissing: einde aan straffeloosheid voor GAFAM in Europa? In een eerder nieuwsbericht berichtten wij over de moeilijkheden bij het bereiken van overeenstemming op Europees niveau over de implementatie van de Algemene Verordening Gegevensbescherming. 

Het recente besluit van de Ierse toezichthouder met betrekking tot WhatsApp laat zien dat er verdere vooruitgang is geboekt in de samenwerking tussen toezichthoudende autoriteiten, zoals vastgelegd in de AVG.

De bestuurlijke boete van 225 miljoen euro die WhatsApp op 2 september kreeg opgelegd door Ierland kent een aantal wendingen binnen de Europese Raad voor Gegevensbescherming (EDPB).

In het kader van de geschillenbeslechtingsprocedure zoals voorzien in artikel 65 van de AVG heeft het Comité Ierland gedwongen zijn conclusies te herzien : de bestanddelen van het vergrijp moesten worden uitgebreid, het boetebedrag aanzienlijk verhoogd en de termijnen die Whatsapp kreeg om aan de beslissing te voldoen, moesten worden ingekort.

Bij het berekenen van de boete hield de Commissie er rekening mee dat niet alleen de omzet van WhatsApp, maar ook die van het moederbedrijf Facebook in aanmerking moest worden genomen.

Ook werd overwogen dat in het geval van meerdere inbreuken voor dezelfde gegevensverwerking, de inbreuken bij elkaar moeten worden opgeteld – waarbij onder het in de AVG vastgelegde omzetplafond van 4% moet worden gebleven.

Opgemerkt dient te worden dat de boete, hoe hoog deze ook lijkt, slechts 0,08% van de omzet van Facebook vertegenwoordigt.

Dat is nogal wat, zeker als je bedenkt dat de Ierse autoriteiten aanvankelijk een boete van 50 miljoen euro wilden opleggen.

Laten we dat onthouden De Luxemburgse autoriteit voor gegevensbescherming legde Amazon begin augustus een boete van € 746 miljoen op., de hoogste boete die ooit is opgelegd onder de AVG.

De belangrijkste vraag in het onderzoek was of WhatsApp voldeed aan zijn informatieverplichtingen richting zijn gebruikers, en ook richting niet-gebruikers waarvan gegevens worden verzameld.

De informatieve mededelingen werden als complex beschouwd, waardoor het onmogelijk was om de legitieme belangen die het bedrijf nastreeft, goed te begrijpen.

De functionaliteit ‘toegang tot contacten’ is voor gebruikers totaal ondoorzichtig. Hun gegevens worden verwerkt, ook al gebruiken ze de applicatie zelf niet per se.

Naast een schending van de artikelen 12, 13 en 14 van de AVG met betrekking tot de informatieverplichtingen, concludeert het Comité dat de schendingen voldoende ernstig zijn om een schending op te leveren van artikel 5(1)(a) van de AVG met betrekking tot het algemene beginsel van transparantie.

Het besluit van de Ierse autoriteit, bekrachtigd door het Comité, vormt een nuttige mijlpaal voor verwerkingsverantwoordelijken met betrekking tot de informatieverplichtingen van de AVG.

De volgende richtlijnen blijven behouden:

–           Vermijd het verspreiden van informatie op verschillende pagina's waarbij de gebruiker op meerdere links moet klikken, eindeloze vervolgkeuzemenu's en het concentreren van informatie op één plek.

–           Beschrijf de verwerkingsoperaties, de verzamelde gegevens en de wettelijke basis voor elk geïdentificeerd doel.

Geef deze informatie ook op voor elke derde partij die toegang heeft tot de gegevens.

Door de verschillende elementen in tabelvorm weer te geven, kunt u ze beter begrijpen.

–           Informatie beschikbaar makenn betreffende “niet-gebruikers” op een afzonderlijke en gemakkelijk toegankelijke manier.

–           Geef de omstandigheden aan waaronder de gegevens bewaard zullen worden / verwijderd, met concrete illustraties.

–           Geef de wettelijke basis aan het toestaan van de overdracht van gegevens buiten de Europese Unie, waarbij, indien er geen adequaatheidsbesluit is, de alternatieve rechtsgrond wordt gespecificeerd.

Een algemene verwijzing naar een webpagina van de Europese Commissie is niet voldoende.

.

En ook

Frankrijk:

De CNIL zet haar nalevingsacties met betrekking tot cookies voort.

Ze sprak een tweede reeks toe formele mededelingen in de zomer tegen verschillende onlineverkopers, grote platforms voor de digitale economie, lokale overheden en de bankensector.

Zij heeft ook goedgekeurd Op 27 juli betaalde het bedrijf Figaro 50.000 euro voor het plaatsen van advertentiecookies zonder toestemming van de internetgebruiker.

Zij maakt van deze gelegenheid gebruik om de verdeling van de verantwoordelijkheid tussen website-uitgevers en hun commerciële partners te benadrukken.

Er is een computerfout toegankelijk gemaakt de persoonsgegevens van ongeveer 700.000 mensen die een Covid-test hebben gedaan.

Deze inbreuk op de beveiliging benadrukt de wisselende betrouwbaarheid van de overdrachtsservices die apothekers gebruiken om het SI-DEP-platform van de overheid te voeden.

Hoewel het SI-DEP-platform zelf veilig is, geldt dit niet voor alle middleware.

Het Directoraat-generaal Volksgezondheid (DGS) heeft een e-mail naar apothekers gestuurd om hen eraan te herinneren dat de software is goedgekeurd en compatibel is met SI-DEP.

De fout van Francetest, die in het op 31 augustus openbaar gemaakte lek werd geïdentificeerd, was daar geen onderdeel van.

De CNIL herinneren in de huidige context van het begin van het schooljaar, de eisen waaraan moet worden voldaan in het kader van het gebruik van biometrie op scholen.

Er wordt gekeken naar handcontourherkenning voor toegang tot schoolkantines en er worden eisen gesteld aan informatie, toestemming en gegevensbeveiliging.

Zij voegt daaraan toe dat het weigeren om biometrische gegevens te verwerken en daarmee op een andere manier toegang te krijgen tot de kantine, geen schade mag toebrengen aan de betrokken student.

Europa:

Consumentenkrediet: De Europese Toezichthouder voor gegevensbescherming (EDPS) publiceerde op 26 augustus een advies over het richtlijnvoorstel van de Europese Commissie.

De oorzaak zijn nieuwe methoden voor kredietbeoordeling met behulp van digitale technologieën.

Indien dergelijke beoordelingen noodzakelijk zijn voor het verstrekken van krediet aan de consument, verzoekt de EDPS om bepaalde gegevens uit de beoordelingsprocedures uit te sluiten.

De EDPS wil dat het verbod niet alleen wordt uitgebreid naar gezondheids- en sociale mediagegevens, maar ook naar alle gevoelige gegevens (bijvoorbeeld over religie en politieke opvattingen) en naar de surfgegevens van internetgebruikers.

De Controller wijst er tevens op dat er behoefte is aan een betere regulering van de rol van derde partijen die kredietanalysediensten leveren en aan de certificering van kunstmatige-intelligentiesystemen in deze sector.

Gezichtsherkenning: Raad van Europa publiceert richtlijnen die gericht zijn op het bieden van een reeks referentiemaatregelen voor overheden, ontwikkelaars van gezichtsherkenning, fabrikanten, dienstverleners en entiteiten die gezichtsherkenningstechnologieën gebruiken.

Het doel is om ervoor te zorgen dat de inzet van dergelijke middelen geen inbreuk maakt op de menselijke waardigheid, de mensenrechten en de fundamentele vrijheden, waaronder het recht op bescherming van persoonsgegevens.

Italië: Autoriteit Persoonsgegevens (Garante) legt Deliveroo een boete van € 2,5 miljoen opwegens het niet-transparante gebruik van een algoritme om de bezorgers te beheren en wegens het onevenredig verzamelen van hun persoonsgegevens, in strijd met de beginselen van rechtmatigheid, transparantie, minimalisatie en beperking van de AVG.

Internationaal :

De Volksrepubliek China heeft op 20 augustus een wet betreffende de bescherming van persoonsgegevens (PIPL).

Deze wet treedt in werking op 1 november 2021. 

Het doel is niet alleen om individuele gegevens te beschermen, maar ook om de staatsveiligheid en de economische belangen van het land te beschermen met betrekking tot GAFAM.

De wet bevat strikte verplichtingen ten aanzien van lokale gegevensopslag en beperkingen op internationale overdrachten.

De overname van Afghanistan door de Taliban heeft ook gevolgen voor de gegevensbescherming.

Meerdere bestanden, waaronder die van de ministeries van Binnenlandse Zaken en Defensie, bijzonder gevoelige informatie zouden bevatten.

Het gaat onder meer om politie- en legergegevens van een half miljoen personen: achternaam, voornaam, maar ook een identificatienummer gekoppeld aan een biometrisch profiel, beroepsgegevens en familierelaties, evenals de persoonsgegevens van twee 'oudsten' van stammen, die garant staan bij de rekrutering.

Als al deze informatie van eigenaar wisselt, kunnen we de verbanden tussen lokale gemeenschappen en etnische groepen in kaart brengen.