Nieuws van de toezichthoudende autoriteiten: feesten en toezicht

Juridische Watch nr. 31 – Januari 2021

Nieuws van de toezichthoudende autoriteiten: feesten en toezichtDe afgelopen dagen waren het de momenten waarop we (virtueel) verschillende verjaardagen konden vieren.

Op 28 januari organiseerden privacybelanghebbenden in Europa, Afrika, Noord- en Zuid-Amerika en de regio Azië-Pacific verschillende evenementen om de 15e verjaardag van de Dag van de Gegevensbescherming.

We willen er graag aan toevoegen dat Verdrag 108 (Verdrag van de Raad van Europa inzake de bescherming van persoonsgegevens) dit jaar zijn 40-jarig jubileum viert.

De aanleiding voor een evaluatie en een officiële verklaring waarin de nadruk wordt gelegd op de noodzaak om "de menselijke waardigheid en integriteit te behouden in het tijdperk van geautomatiseerde beslissingen genomen door kunstmatige intelligentie en algoritmen" en om een gemeenschappelijke juridische ruimte op internationaal niveau te ontwikkelen om de uitwisseling van gegevens tussen landen te vergemakkelijken.

Digitale technologie staat dan ook centraal in de huidige debatten, met een verklaring van het Comité van Ministers van de Raad van Europa over het waarborgen van het recht op gegevensbescherming in de digitale omgeving en de goedkeuring van richtsnoeren over gezichtsherkenning.

Een van de belangrijkste internationale conferenties over gegevensbescherming, “Computers, privacy en gegevensbescherming”, die eind januari plaatsvond, bevestigde deze zorgen met drie dagen van online discussies over het thema "handhaving van rechten in een veranderende wereld". 

Hoewel gegevensbeschermingsautoriteiten meer bevoegdheden hebben gekregen om de AVG te handhaven, blijven er vragen bestaan over hun strategie, de Europese samenwerking en de effectiviteit van sancties in het licht van de invloed van 'grote technologiebedrijven' zoals Google en Amazon.

De in 2020 in Europa opgelegde boetes bedragen in totaal € 272,5 miljoen, en de drie meest actieve landen op dit gebied zijn Italië, Duitsland en Frankrijk, zoals blijkt uit een recent rapport van DLA Piper over dit onderwerp.

De CNIL heeft geen gebrek aan sancties, zowel tegen grote spelers in de digitale wereld als tegen micro- en kleine bedrijven (MKB), met boetes die zijn aangepast aan de omzet van de verantwoordelijken.

Multinationals kunnen weliswaar bepaalde bedragen opzijzetten als onderdeel van een sanctieprocedure, maar voor kleinere structuren kan de impact aanzienlijk zijn, zowel financieel als qua imago.

Concreet werden de laatste sancties van de CNIL wegens schending van de AVG gerechtvaardigd door schendingen van de veiligheidsregels en het niet naleven van de regels inzake commerciële prospectie.

Dus de Nestor-bedrijf kreeg boete van 20.000 euro omdat zij niet heeft voldaan aan haar verplichting om de toestemming van de potentiële klanten te verkrijgen, en omdat zij de rechten van de betrokken personen (informatie, toegang) niet heeft gerespecteerd.

Ook de CNIL is van mening dat er onvoldoende veiligheidsmaatregelen zijn getroffen, zowel in dit geval als in het recentere geval van de credential stuffing-aanval: de manager en zijn onderaannemer ontbraken een aantal essentiële beschermingsmaatregelen, zoals het beperken van het aantal toegestane verzoeken op een webpagina en het gebruik van CAPTCHA.

In dit geval De CNIL legde boetes op van respectievelijk 150.000 en 75.000 euroZij maakte van de gelegenheid gebruik om mensen op haar website te herinneren aan de maatregelen die bedoeld zijn om persoonsgegevens te beschermen tegen dit soort aanvallen.

De CNIL richt zich ook op het gebruik van cookies en de wijze waarop websites aan haar richtlijnen voldoen.

Ter herinnering: eind 2020 heeft de Commissie richtsnoeren over dit onderwerp gepubliceerd. Daarin staat met name hoe de toestemming van internetgebruikers voor het gebruik van trackers kan worden verkregen.

En ook

Frankrijk:

Op 26 januari heeft de CNIL haar advies uitgebracht over de wetsvoorstel betreffende mondiale veiligheid.

Ze heeft bedenkingen bij het gebruik van drones en pleit voor voorafgaande experimenten. Ze wijst daarbij op de uitgebreide mogelijkheden die deze technologie biedt om beelden vast te leggen, waarbij mensen in hun bewegingen kunnen worden gevolgd, zonder dat ze het weten en gedurende een mogelijk lange periode.

Zij voegt eraan toe dat deze bewakingsapparatuur waarschijnlijk een grotere impact heeft dan traditionele camera's op de uitoefening van andere fundamentele vrijheden door burgers (het recht om te demonstreren, de vrijheid van godsdienst, de vrijheid van meningsuiting).

Ook worden de voorwaarden voor het gebruik van camera's die in bepaalde voertuigen zijn geïnstalleerd en de videobewaking, met name de realtime-overdracht van beelden naar de rechtshandhaving, ter discussie gesteld.

Europa:

• De Noorse toezichthoudende autoriteit is van plan om een boete op te leggen aan: Grindr een boete van 10 miljoen euro voor

Niet alleen biedt de app alleen maar 'take it or leave it'-voorwaarden die gebruikers niet toestaan om hun toestemming te geven of niet om hun gegevens te delen, ook werd er geen informatie verstrekt over het delen van deze (gevoelige) gegevens met het MoPub-advertentieplatform dat door Twitter wordt gebruikt, waardoor vervolgens gegevens met meer dan honderd klanten kunnen worden gedeeld. 

• In Italië heeft de gegevensbeschermingsautoriteit de blokkering bevolen door TikTok den elk gebruik van gegevens van gebruikers waarvan de leeftijd niet is geverifieerd. 

Ze beschuldigt TikTok van een gebrekkig verificatiesysteem, waardoor minderjarigen onder de 13 jaar mogelijk worden blootgesteld aan ongepaste content.

Dit spoedbesluit volgt op een tragedie waarbij een tienjarig meisje om het leven kwam toen ze op het sociale netwerk deelnam aan een uitdaging die viraal ging (het sjaalspel).

• De Belgische Gegevensbeschermingsautoriteit heeft de overheid op de hoogte gebracht van de voorwaarden waaronder de Rijksdienst voor Sociale Zekerheid persoonsgegevens mag delen, en die te ruim worden geacht. COVID-gezondheidsgegevens.

Er wordt gevraagd om een aanpassing van de tekst van het koninklijk besluit waarin de voorwaarden voor het delen van gegevens worden vastgelegd.

Internationaal :

De staat New York heeft zojuist een wet aangenomen die het gebruik en de aankoop van gezichtsherkenningstechnologie en andere biometrische identificatiemiddelen op scholen opschort tot juli 2022.

De gouverneur van New York geeft de Commissaris van Onderwijs opdracht een onderzoek uit te voeren naar de geschiktheid van deze technologie in de onderwijsomgeving.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.