Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Geautomatiseerde beslissingen: hoe wordt de AVG geïmplementeerd?

Juridische Watch nr. 47 – Mei 2022

Geautomatiseerde beslissingen: hoe wordt de AVG geïmplementeerd? Op 17 mei publiceerde het Future of Privacy Forum een uitgebreid rapport over het onderwerp geautomatiseerde beslissingen.

In dit rapport worden meer dan 70 documenten geanalyseerd die inzicht bieden in de wijze waarop artikel 22 van de AVG wordt geïmplementeerd door rechtbanken en gerechtshoven, Europese en Britse autoriteiten op het gebied van gegevensbescherming, en in verschillende richtsnoeren en aanbevelingen van toezichthouders over dit onderwerp.

Hoewel geautomatiseerde beslissingen al geregeld waren in de Europese Richtlijn 95/46/EG, heeft het principe sinds de inwerkingtreding van de AVG een nieuwe dimensie gekregen.

Het is daarom toepasbaar in meer uiteenlopende en frequentere contexten, zoals die van kunstmatige intelligentie, en de APD's hebben nu de middelen om de wet te handhaven.

Dit soort beslissingen vinden we vooral op de volgende gebieden:

  • Toegangs- en aanwezigheidscontrole op scholen met behulp van gezichtsherkenningstechnologieën
  • Online monitoring op universiteiten en geautomatiseerde beoordeling van studenten
  • Geautomatiseerde filtering van sollicitaties
  • Algoritmisch beheer van platformwerkers
  • Verdeling van sociale uitkeringen en opsporing van belastingfraude
  • Geautomatiseerde kredietbeoordeling
  • Beslissingen over inhoudsmoderatie in sociale netwerken

Laten we het principe nog eens kort herhalen: Artikel 22 van de AVG geeft personen het recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking., met inbegrip van profilering, rechtsgevolgen voor u teweegbrengen of u op een vergelijkbare wijze in aanmerkelijke mate treffen.

In dit verband moet worden opgemerkt dat het Europees Comité voor gegevensbescherming heeft verduidelijkt dat de verwerkingsverantwoordelijken de toepassing van artikel 22 niet kunnen ontlopen door een mens eenvoudigweg de door de machine genomen beslissingen te laten bekrachtigen, zonder dat zij daadwerkelijk de bevoegdheid of competentie hebben om het resultaat te wijzigen.

Indien daarentegen het betreffende geautomatiseerde proces enkel gegevens verstrekt voor een besluit dat uiteindelijk door een mens wordt genomen, valt de daaraan ten grondslag liggende verwerking niet onder de reikwijdte van artikel 22.

Op grond van artikel 22(2) blijven geautomatiseerde besluiten mogelijk als deze noodzakelijk zijn voor de uitvoering van een contract, als deze bij wet zijn voorzien of als ze zijn gebaseerd op de uitdrukkelijke toestemming van de betrokkene.

In dergelijke gevallen neemt de verwerkingsverantwoordelijke niettemin passende maatregelen om de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, alsmede diens recht om ten minste menselijke tussenkomst van de verwerkingsverantwoordelijke te verkrijgen, om zijn/haar standpunt kenbaar te maken en om het besluit aan te vechten.

Deze strikte beperking op geautomatiseerde beslissingen moet worden gelezen in de bredere context van de AVG, en in het bijzonder de vereisten met betrekking tot de rechtmatigheid van elke verwerking, het bestaan van een wettelijke basis en de regels inzake zogenoemde gevoelige gegevens, waaronder biometrische gegevens.

Uit de geanalyseerde documenten blijkt dat de toezichthoudende autoriteiten en de rechtbanken deze beginselen strikt toepassen.

Zij benadrukken met name de volgende elementen:

  • De verplichting tot transparantie met betrekking tot de parameters die leiden tot een geautomatiseerd besluit;
  • De toepassing van het loyaliteitsbeginsel om discriminatie te voorkomen;
  • De strenge voorwaarden voor het verkrijgen van toestemming van de betrokkene.

Om te bepalen of een beslissing volledig geautomatiseerd is, wordt bovendien rekening gehouden met de volledige context van het besluitvormingsproces: de organisatiestructuur van de manager, hiërarchische lijnen, bewustzijn van de werknemers.

Om de impact van het besluit op het individu te beoordelen, onderzoeken de autoriteiten met name of de invoergegevens van een geautomatiseerd besluit gevolgtrekkingen over het gedrag van individuen bevatten en of het besluit het gedrag en de keuzes van de betrokken individuen beïnvloedt.

In Frankrijk is een van de referentiebeslissingen die van de CNIL in de Clearview-bestandWat betreft gezichtsherkenning: de Commissie heeft Clearview AI bevolen om binnen twee maanden te stoppen met het verzamelen van gezichtsfoto's van mensen in Frankrijk via internet. Deze foto's worden gebruikt voor de database waarmee de gezichtsherkenningssoftware wordt getraind. Ook moet Clearview AI eerder verzamelde foto's verwijderen.

Italië en het Verenigd Koninkrijk hebben soortgelijke beslissingen genomen met betrekking tot hetzelfde bedrijf.

Een vonnis van de bestuursrechter van Marseille uit februari 2020 vernietigde een besluit van de regio Provence-Alpes-Côte d'Azur om twee piloten met gezichtsherkenning bij schoolingangen van Nice en Marseille.

Terwijl de zaak nog liep, uitte de CNIL haar zorgen over de invoering van een dergelijk systeem, gezien de doelgroep (kinderen) en de vertrouwelijkheid van de betrokken biometrische gegevens.

Het besluit van het Hof om de pilot nietig te verklaren, werd genomen op grond van het feit dat de toestemming van de middelbare scholieren niet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig was gegeven en dat scholen minder ingrijpende middelen tot hun beschikking hadden om de toegang van hun leerlingen tot hun gebouwen te controleren (bijvoorbeeld controles op badges/identiteitskaarten in combinatie met videobewaking).

Laten we eraan toevoegen dat de gegevensbeheerder in de meeste gevallen niet in staat zal zijn om een impactanalyse, zoals bepaald in artikel 35 van de AVG, wanneer het besluit betrekking heeft op profilering met aanzienlijke gevolgen voor de betrokkene: bijvoorbeeld in Italië, de recente beslissing van de DPA betreffende het bedrijf Deliveroo: het bedrijf had een impactanalyse moeten uitvoeren op zijn algoritme, de verwerking met behulp van innovatieve technologieën, op grote schaal (zowel wat betreft het aantal fietsers – 8.000 – als de soorten gebruikte gegevens), betrekking moeten hebben op kwetsbare personen (werknemers in de "gig economy" die per taak worden betaald) en een evaluatie of beoordeling van laatstgenoemden moeten omvatten.

En ook

Frankrijk:

De CNIL publiceert haar activiteitenverslag voor het jaar 2021: Tot de opvallende activiteiten behoren de vernieuwing van het ondersteuningsbeleid, de toegenomen mobilisatie op het gebied van cyberveiligheid en de versterking van het repressieve optreden.

Er worden ook een aantal criteria gepubliceerd om de rechtmatigheid van muurcookies te beoordelen.s (tracerwanden).

Het biedt informatie die de rechtmatigheid van de "betaalmuur", waarbij de internetgebruiker die cookies weigert, een geldbedrag moet betalen om toegang tot de site te krijgen.

De uitgever die een betaalmuur wil implementeren, moet de redelijkheid van de geboden financiële vergoeding kunnen aantonen en aantonen dat de cookiemuur beperkt is tot de doeleinden die een eerlijke vergoeding voor de aangeboden dienst mogelijk maken.

De Franse overheid gaat een systeem invoeren waarmee burgers zich online kunnen authenticeren door hun identiteitskaart te scannen met hun smartphone.

Het Publicatieblad heeft namelijk decreet nr. 2022-676 van 26 april 2022 gepubliceerd, waarin de oprichting van een elektronische identificatietoepassing, genaamd “Dienst voor digitale identiteitsgarantie”.

Deze applicatie wordt gekoppeld aan de nieuwe identiteitskaart met chip en maakt het mogelijk de gegevens op een mobiele telefoon op te slaan.

Europa:

Op 12 mei is de Europees Comité voor gegevensbescherming heeft twee richtlijnen aangenomen, één over methoden voor het berekenen van boetes in overeenstemming met de AVG, en de andere over gezichtsherkenning.

Het Comité pleit ervoor dat gezichtsherkenningshulpmiddelen alleen mogen worden gebruikt in strikte overeenstemming met de Europese richtlijn Politie en Justitie.

Daar Europese Commissie publiceerde op 11 mei een voorstel voor een verordening die gericht is op het voorkomen en bestrijden van materiaal dat seksueel misbruik van kinderen bevat (CSAM).

De gevolgen voor bedrijven als WhatsApp en Instagram, die verplicht zijn om privécommunicatie te controleren, te verwijderen of door te geven aan de politie, baren de burgermaatschappij zorgen.

Europese Commissie publiceert vragen en antwoorden over nieuwe standaardcontractbepalingen voor internationale gegevensoverdrachten

De "Data Act" van de Europese Commissie heeft ook geleid tot een reactie van het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming (EDPS). : in een gezamenlijk standpunt maken zij zich zorgen over de reikwijdte van de verordening.

Hoewel het hierbij vooral gaat om gegevens die door verbonden objecten worden verzonden, gaat het ook om gevoelige persoonlijke gegevens.

De autoriteiten eisen duidelijke grenzen aan het gebruik van gegevens voor direct marketing of reclame, toezicht op werknemers, verzekeringspremies en kredietrapportage.

De Spaanse autoriteit voor gegevensbescherming heeft Google LLC een boete van € 10 miljoen opgelegd. omdat de persoonsgegevens onrechtmatig aan een derde zijn doorgegeven en omdat de uitoefening van het recht op wissen is verhinderd.

Google wordt ook in het Verenigd Koninkrijk aangeklaagd vanwege illegaal gebruik van medische gegevens van 1,6 miljoen mensen: DeepMind, het kunstmatige intelligentiesysteem van het bedrijf, zou deze gegevens in 2015 van de Royal Free NHS Trust in Londen hebben ontvangen om een mobiele applicatie te testen.

Google – heeft uiteindelijk, na veroordeling door de CNIL en haar Europese tegenhangers, besloten om het weigeren van alle cookies op haar zoekmachine en op YouTube te vereenvoudigen. De optie "Aanpassen" wordt vervangen door twee knoppen "Alles accepteren" en "Alles weigeren" met dezelfde vorm, vergezeld door een derde knop "Meer opties".

Volgens de Belgische Gegevensbeschermingsautoriteit, Het verzenden van een e-mail met de lijst met ontvangers in CC in plaats van BCC wordt niet beschouwd als een inbreuk op de beveiliging, zolang slechts een kleine groep mensen (16 mensen) hierdoor wordt getroffen.

De Deense autoriteit overweegt een boete van 100.000 DKK op te leggen aan een agentschap van het Ministerie van Justitie vanwege het verlies van een niet-versleutelde USB-stick en het niet melden van de beveiligingsinbreuk bij de autoriteit voor gegevensbescherming.

Het Ierse Hof van Beroep is van mening dat de gegevens die door een videobewakingssysteem worden verzameld met het oog op het voorkomen van strafbare feiten, niet gebruikt kunnen worden om werknemers te controleren en disciplinaire maatregelen tegen hen te nemen, omdat dit doel onverenigbaar is met het eerste.

De Noorse Autoriteit voor gegevensbescherming is van plan om de arbeidsadministratie een boete van € 486.700 op te leggen voor het online verspreiden van cv's van 1.800.000 personen zonder wettelijke basis.

Internationaal :

De Europese Toezichthouder voor gegevensbescherming heeft in een advies van 18 mei zijn bezorgdheid geuit over de deelname van de Europese Unie aan het Verdrag van de Verenigde Naties inzake cybercriminaliteit.

Hij benadrukt het risico dat fundamentele rechten worden verzwakt, omdat er zoveel landen met verschillende rechtsstelsels bij betrokken zijn.

De Autoriteit voor gegevensbescherming van Hongkong publiceerde op 12 mei haar richtlijnen voor het gebruik van contractuele clausules bij internationale gegevensoverdrachten.

Singaporese Autoriteit voor gegevensbescherming publiceert een gids voor data-anonimisering

Twitter bereikt schikking met het Amerikaanse ministerie van Justitie en de Federal Trade Commission voor 150 miljoen dollar en verplicht zich tot het implementeren van een complianceprogramma met betrekking tot schendingen van de vertrouwelijkheid van de niet-openbare gegevens van haar abonnees.

Uit een rapport van de Ierse Raad voor Burgerlijke Vrijheden blijkt dat de Realtime bieden, waarmee gerichte advertenties kunnen worden geleverd, is verantwoordelijk voor het grootste datalek ooit in de wereld.

Volgens cijfers volgt en deelt de industrie, die meer dan € 110 miljard waard is, jaarlijks 178 miljard keer de online activiteiten en de werkelijke locaties van individuen in de Verenigde Staten en Europa.

In Europa maakt RTB 376 keer per dag de gegevens van mensen openbaar en Google verstuurt elke minuut dat Duitse internetgebruikers online zijn 19,6 miljoen uitzendingen over het onlinegedrag van Duitse internetgebruikers.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL