Juridisch Nieuws nr. 66 – december 2023.

GDPR-jurisprudentie: belangrijke trends voor 2023

Zowel in Frankrijk als op Europees niveau hebben gegevensbeschermingsautoriteiten en gerechtelijke instanties in 2023 talrijke besluiten genomen ter verduidelijking van de voorwaarden voor de toepassing van de AVG.

Op Europees niveau betreffen de meest ingrijpende sancties die door gegevensbeschermingsautoriteiten worden opgelegd, internationale techreuzen en een aantal nationale bedrijven.

Ze richten zich specifiek op reclame zonder toestemming van de gebruiker en zonder de gebruikers daarover te informeren.

• Op 4 januari 2023 heeft de Ierse gegevensbeschermingscommissie Meta Platforms Ireland Ltd. een boete van € 390 miljoen opgelegd wegens het onrechtmatig gebruik van persoonsgegevens voor reclamedoeleinden op Facebook en Instagram.

In mei 2023 legde het Meta bovendien een historische boete van 1,2 miljard euro op voor het illegaal overdragen van gegevens naar de Verenigde Staten.

• De Ierse gegevensbeschermingsautoriteit (DPA) heeft WhatsApp in januari 2023 ook een boete van € 5,5 miljoen opgelegd omdat het bedrijf gebruikers dwong toestemming te geven voor het gebruik van persoonlijke gegevens met als doel "het verbeteren van diensten en beveiliging".
• Op 15 juni 2023 legde de CNIL een boete van 40 miljoen euro op aan CRITEO, een bedrijf gespecialiseerd in online reclame, met name omdat het bedrijf niet had gecontroleerd of de personen van wie het de gegevens verwerkte, daarvoor toestemming hadden gegeven.
• De Italiaanse autoriteit voor gegevensbescherming heeft telemarketingbedrijf TIM SpA afgelopen juni een boete van 7,6 miljoen euro opgelegd wegens onvoldoende toezicht op callcenters met misbruikpraktijken.

In Frankrijk heeft de CNIL diverse andere sancties aangenomen die het vermelden waard zijn. De Commissie heeft zich met name gericht op:

• Vanwege het ontbreken van een wettelijke basis voor het verzamelen van biometrische gegevens door het bedrijf Clearview;
• Wat betreft de vraag of het principe van het minimaliseren van verzamelde gegevens, in dit geval geolocatiegegevens in de Cityscoot-zaak van 16 maart 2023, moet worden nageleefd;
• Met betrekking tot de bewaartermijnen van gegevens in de KG COM-zaak van 8 juni 2023 en de Doctissimo-zaak van 11 mei 2023;
• Met betrekking tot het respect voor de rechten van individuen in de zaken Canal + (12 oktober), Free (20 maart) en Criteo (15 juni).

Wat dit laatste punt betreft, benadrukt de CNIL dat de gegevens op een begrijpelijke manier aan de aanvrager moeten worden meegedeeld.

Ze merkt ook op dat het niet naleven van de termijn van één maand voor het reageren op het verzoek om toegang een veelvoorkomende overtreding is.

Het is goed om te benadrukken dat de uitoefening van individuele rechten het thema is van de gecoördineerde onderzoeken door gegevensbeschermingsautoriteiten in Europa voor 2024.

Laten we ook nog enkele recente uitspraken van Franse rechtbanken en gerechtshoven met betrekking tot videobewaking noemen.

• De bestuursrechtbanken van Nice en Lille hebben respectievelijk op 23 november en 29 november uitspraak gedaan in het voordeel van gemeenten die camerabewakingssystemen met gezichtsherkenning op basis van algoritmes hadden geïnstalleerd. De rechtbank oordeelde dat deze systemen (nog) niet volledig geactiveerd of ingezet waren voor augmented reality-videobewaking.
• De bestuursrechtbank van Caen oordeelde daarentegen in een voorlopige uitspraak van 22 november stelliger dat het algoritmische videobewakingssysteem Briefcam een ernstige en kennelijk illegale inbreuk op het recht op privacy vormde.

De rechter merkte in zijn raadkamer op dat het gebruik buiten elk wettelijk of regelgevend kader viel en oordeelde dat "niet is aangetoond, noch zelfs maar beweerd, dat er geen andere, minder ingrijpende middelen met betrekking tot de privacy hadden kunnen worden ingezet om de openbare orde te handhaven."

De vraag naar de juridische basis voor het gebruik van algoritmische videobewaking zal nog dringender worden met de invoering van de Europese verordening inzake kunstmatige intelligentie, die gezichtsherkenning in openbare ruimten op bijzonder strenge wijze zal reguleren (zie de onderstaande samenvattingen).

Ten slotte heeft het Hof van Justitie van de Europese Unie (HvJ EU) op Europees niveau diverse uitspraken gedaan die met name de beginselen verduidelijken die van toepassing zijn op geautomatiseerde verwerking en de beoordeling van schade bij schendingen van de AVG:

• Het Hof van Justitie van de EU heeft op 7 december twee belangrijke uitspraken gedaan met betrekking tot de dominante aanbieder van kredietinformatiediensten in Duitsland ("Schufa").

Het Hof heeft nadrukkelijk gesteld dat geautomatiseerde kredietwaardigheidsverwerking ("scoring") onderworpen is aan een algemeen verbod op grond van artikel 22 van de AVG.

Ze voegt eraan toe dat het bedrijf dat een kredietscore automatisch vaststelt, onderworpen blijft aan artikel 22, zelfs als het een ander bedrijf is dat op deze score vertrouwt om beslissingen te nemen die een (negatieve) impact hebben op de betrokkene. Dit zou volgens haar gevolgen kunnen hebben voor systemen die gebruikmaken van kunstmatige intelligentie.

• Wat de schadevergoeding betreft, heeft het Hof van Justitie van de Österreichische Post van 4 mei 2023 geoordeeld dat een schending van de AVG-bepalingen niet volstaat om de betrokkene recht te geven op schadevergoeding: er moet ook sprake zijn van schade. Deze schade moet echter worden vergoed, zelfs als deze niet een bepaalde mate van ernst bereikt.
• In zijn arrest van 14 december 2023 geeft het Hof van Justitie van de EU een ruime interpretatie van morele schade.

De rechtbank stelt met name dat de angst die een persoon ervaart met betrekking tot mogelijk misbruik van zijn of haar persoonsgegevens door derden na een schending van de AVG, op zichzelf waarschijnlijk morele schade vormt.

In combinatie met de uitspraak in de zaak Österreichische Post AG, die bepaalt dat er geen minimumdrempel is voor immateriële schade, zou deze uitspraak de ontwikkeling van collectieve rechtszaken in Europa kunnen bevorderen.

Het is goed om te vermelden dat Frankrijk, net als zijn Europese partners, bezig is de richtlijn van 25 november 2020 betreffende collectieve acties ter verdediging van de collectieve belangen van consumenten in nationale wetgeving om te zetten.

 

   

• Medio december publiceerde de CNIL de "Tabellen inzake gegevensverwerking en vrijheden" voor professionals op het gebied van gegevensbescherming.

Deze tabellen groeperen en classificeren samenvattingen van talrijke uitspraken van Franse en Europese rechtbanken, waaronder het Europees Hof voor de Rechten van de Mens, het Hof van Justitie van de Europese Unie, de Constitutionele Raad, de Raad van State en het Hof van Cassatie.

De tabellen bevatten ook een aantal beslissingen van het EDPB en de CNIL, met de nadruk op beslissingen die een nieuwe doctrine vaststellen of beginselen formuleren.

• Medio december publiceerde de CNIL ook een handleiding om de bewustwording van de AVG te vergroten en zo de bedrijfsgezondheidszorg te ondersteunen bij de naleving ervan.
• Na het Europees Comité voor gegevensbescherming (EDPB) is het nu de beurt aan het directoraat-generaal Concurrentie, Consumentenzaken en Fraudebestrijding om een pagina te publiceren die consumenten waarschuwt voor 'dark patterns'. Dit zijn technieken of processen die erop gericht zijn de keuzes van internetgebruikers te beïnvloeden, zodat ze producten bestellen of zich abonneren op diensten die ze anders niet zouden hebben gekozen.
• Het ministerie van Binnenlandse Zaken heeft zojuist de reorganisatie van zijn cybercriminaliteitsdiensten afgerond.
• Het nieuwe "Commando Cyberruimte van het Ministerie van Binnenlandse Zaken" (Comcyber-MI) werd op 23 november 2023 bij decreet opgericht en zal alle middelen van het ministerie coördineren.
• Een ander decreet formaliseert de oprichting van een nieuw "Bureau ter bestrijding van cybercriminaliteit" (OFAC), dat binnen de politie de subdirectie voor de bestrijding van cyberbeveiliging en het voormalige bureau, het Centraal Bureau voor de bestrijding van criminaliteit met betrekking tot informatie- en communicatietechnologieën (OCLCTIC), samenvoegt.
• Ten slotte formaliseert een derde decreet de oprichting van een nationale cyberunit, die verbonden is aan de algemene directie van de nationale gendarmerie.

De iliad, CMA CGM en Schmidt Futures Groups hebben "Kyutai" opgericht: een non-profit onderzoekslaboratorium voor kunstmatige intelligentie met als ambitie de belangrijkste uitdagingen van AI aan te pakken, zoals de ontwikkeling van grote multimodale modellen en de uitvinding van nieuwe algoritmen.

 

Europese instellingen en organen

• De EU heeft op 9 december een politiek akkoord bereikt over de AI-regelgeving, die naar verwachting begin 2024 officieel zal worden aangenomen.

De voorlopige overeenkomst zou bijvoorbeeld cognitieve manipulatie van gedrag verbieden, het niet-gerichte verzamelen van gezichtsafbeeldingen van internet of camerabeelden, emotieherkenning op de werkplek en in onderwijsinstellingen, sociale scores, biometrische categorisatie om gevoelige gegevens af te leiden, zoals seksuele geaardheid of religieuze overtuigingen, en bepaalde gevallen van voorspellende politiepraktijken voor individuen.

De overeenkomst voorziet in een aantal uitzonderingen voor wetshandhavingsdiensten en migratie.

• Tijdens de laatste plenaire vergadering heeft het Europees Comité voor gegevensbescherming een brief aangenomen als reactie op het initiatief van de Europese Commissie betreffende de vrijwillige cookiebelofte.

De commissie steunt het document over het algemeen en adviseert bedrijven om, wanneer een gebruiker de verzameling van zijn of haar gegevens heeft geweigerd, een jaar te wachten voordat ze opnieuw om toestemming vragen. Dit om gebruikersmoeheid ("cookiemoeheid") te verminderen, die door herhaalde verzoeken ertoe leidt dat gebruikers willekeurig klikken in plaats van daadwerkelijk hun rechten uit te oefenen.

• In een uitspraak van 7 december 2023 heeft het Hof van Justitie van de EU verduidelijkt dat het opleggen van een boete voor een overtreding van de AVG een opzettelijke of nalatige overtreding veronderstelt.

Het breidt de reikwijdte van de verantwoordelijkheid en de kwalificatie van de gegevensverwerker verder uit: deze definitie kan zich dus richten op een entiteit die een bedrijf opdracht heeft gegeven om een mobiele computerapplicatie te ontwikkelen en die in dit kader heeft meegewerkt aan het bepalen van de doeleinden en middelen van de verwerking, zelfs als deze entiteit zelf de verwerkingshandelingen niet heeft uitgevoerd, geen expliciete toestemming heeft gegeven voor het uitvoeren van deze handelingen of voor het beschikbaar stellen van de applicatie aan het publiek.

Het document wijst erop dat de kwalificatie van twee entiteiten als gezamenlijke verwerkingsverantwoordelijken niet veronderstelt dat er een overeenkomst tussen deze entiteiten bestaat over de vaststelling van de doeleinden en middelen van de verwerking, noch dat er een overeenkomst bestaat die de voorwaarden met betrekking tot hun verantwoordelijkheid vastlegt.

• Op 21 december oordeelde het Hof van Justitie van de EU dat het recht op schadevergoeding op grond van artikel 82 van de AVG een compenserende functie vervult, "in die zin dat een financiële vergoeding op grond van die bepaling het mogelijk moet maken de daadwerkelijk geleden schade als gevolg van de schending van die verordening volledig te vergoeden", en geen afschrikkende of bestraffende functie.

De ernst van de overtreding die de schade heeft veroorzaakt, mag daarom geen invloed hebben op de hoogte van de schadevergoeding.

• Microsoft heeft een nieuwe versie van Outlook geïntroduceerd die het in Windows geïntegreerde e-mail- en agendaprogramma in 2024 moet vervangen. Dit baart Europese gegevensbeschermingsautoriteiten zorgen.

Microsoft kan toegang krijgen tot e-mails en bijlagen wanneer een gebruiker een niet-Microsoft e-mailaccount aan de applicatie toevoegt, via de IMAP- en SMTP-gegevens van dat account.

 

Nieuws uit de lidstaten van Europa.

• Hoewel Marie-Laure Denis naar verwachting herbenoemd zal worden tot voorzitter van de CNIL, volgens een verklaring van het Élysée die eind november werd gepubliceerd, kondigde Helen Dixon, de voorzitter van de Ierse gegevensbeschermingscommissie, op 15 november 2023 via LinkedIn haar vertrek in februari 2024 aan, na tien jaar in functie.
• De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft een gegevensverwerker een boete van 40.000 euro opgelegd voor het inzien van de e-mailaccounts van drie van zijn voormalige werknemers, in strijd met artikel 5(1) en artikel 13 van de AVG.

De autoriteit oordeelde tevens dat een condominiumbeheerder artikel 5(1)(a) en artikel 6 van de AVG had overtreden door illegaal een videobewakingssysteem te installeren zonder voorafgaande goedkeuring van een condominiumbesluit.

De APD legde een boete van 1.000 euro en een verwerkingsverbod op.

• De Noorse Autoriteit voor Gegevensbescherming (APD) heeft de Noorse Arbeids- en Welzijnsdienst (NAV) een boete opgelegd van 1.754.678 euro (20 miljoen Noorse kronen) en diverse bevelen uitgevaardigd voor 12 overtredingen, die worden toegeschreven aan "ernstige nalatigheid gedurende een lange periode" op het gebied van informatiebeveiliging en IT-systemen van de dienst.
• De Deense Autoriteit voor Gegevensbescherming (DPA) heeft het Agentschap voor Digitale Overheid berispt voor het gebruik van JavaScript in verband met MitID, de Deense digitale identificatiecode.

Hoewel de risico's verbonden aan het gebruik van deze programmeertaal bekend zijn, heeft het Agentschap deze gebruikt zonder voorafgaande risicobeoordeling uit te voeren, waarmee het onder meer artikel 32(1) van de AVG heeft overtreden.

• Een artikel in New Scientist van 18 december meldt dat een kunstmatige intelligentie, getraind op persoonlijke gegevens (medische, professionele en financiële gegevens) van zes miljoen Denen, de risico's op overlijden nauwkeuriger kon voorspellen dan bestaande modellen, waaronder die in de verzekeringssector worden gebruikt.

De onderzoekers achter deze technologie zeggen dat het een positieve impact kan hebben op de vroegtijdige voorspelling van sociale en gezondheidsproblemen, maar dat het uit de handen van grote bedrijven moet blijven.

• Na de aanname van de Online Safety Bill afgelopen oktober, die door het maatschappelijk middenveld werd bekritiseerd omdat deze de end-to-end-versleuteling van communicatie in gevaar brengt, bereidt het Verenigd Koninkrijk een nieuwe, controversiële wet voor over onderzoeksbevoegdheden.

Volgens een bericht van Politico betreft de grootste zorg met betrekking tot dit project het zogenaamde "meldingsregime": dit zou het ministerie van Binnenlandse Zaken de bevoegdheid geven om bedrijven te verplichten het ministerie te informeren over eventuele plannen om de producten of systemen van hun diensten te wijzigen. Dit zou kunnen leiden tot een verlies van controle door de bedrijven over hun eigen producten en hen bijvoorbeeld belemmeren om kwetsbaarheden in de code te verhelpen die de overheid of haar partners zouden willen exploiteren.

Het wetsvoorstel bevindt zich momenteel in de rapportagefase, en de volgende zitting staat gepland voor 23 januari.

 

• Cyberbeveiligingsinstanties uit 18 landen hebben in een document dat op 26 november 2023 werd gepubliceerd, overeenstemming bereikt over het creëren van "secure by design"-modellen voor kunstmatige intelligentie: bedrijven die AI ontwerpen en gebruiken, moeten deze ontwikkelen en implementeren op een manier die hun klanten en het grote publiek beschermt tegen misbruik.

Deze niet-bindende overeenkomst werd aangenomen door de Verenigde Staten, Canada, Japan en 7 EU-lidstaten (Duitsland, Estland, Frankrijk, Italië, Polen en Tsjechië), alsook Noorwegen en het Verenigd Koninkrijk.

• In de Verenigde Staten heeft Google kort voor het einde van het jaar een schikking getroffen in een collectieve rechtszaak van 5 miljard dollar over de incognitomodus van de Chrome-browser. Google werd ervan beschuldigd de browsegegevens van gebruikers in realtime te blijven volgen, verzamelen en identificeren, zelfs nadat een nieuw incognitovenster was geopend.

Volgens Euractiv zijn de specifieke voorwaarden van de overeenkomst nog niet openbaar, maar er wordt verwacht dat er uiterlijk 24 februari een formele overeenkomst bij de rechtbank zal worden ingediend.

• Het California Privacy Agency (CCPA) heeft zich uitgesproken voor een wetsvoorstel dat webbrowsers verplicht een functie te implementeren waarmee gebruikers hun rechten kunnen uitoefenen door middel van "opt-out"-voorkeuren.

De CCPA merkt op dat veel browsers momenteel vereisen dat gebruikers een plug-in van derden installeren die het signaal kan verzenden. 

Browsers die van nature opt-out-voorkeuren ondersteunen, vertegenwoordigen momenteel minder dan 10% van de wereldwijde webbrowsermarkt.

• De Federal Trade Commission (FTC) heeft eind december nieuwe limieten voorgesteld voor bedrijven die gegevens verzamelen over kinderen jonger dan 13 jaar, evenals strengere normen voor het bewaren van deze informatie. Dit maakt deel uit van een herziening van de Children’s Privacy Protection Act (COPPA).
• Ook in de Verenigde Staten is een collectieve rechtszaak aangespannen tegen de Amerikaanse zorgverzekeraar Humana, die ervan wordt beschuldigd een AI-model onrechtmatig te hebben gebruikt om ouderen essentiële revalidatiezorg te ontzeggen.