Doorgifte van persoonsgegevens naar de Verenigde Staten: voortgangsrapport

Juridisch horloge nr. 55 – Januari 2023

Doorgifte van persoonsgegevens naar de Verenigde Staten: voortgangsrapportDe juridische onzekerheid die momenteel heerst rond de gegevensuitwisseling tussen Europa en de Verenigde Staten heeft gevolgen voor concrete kwesties, zoals de strijd tegen het woningtekort in Frankrijk of het gebruik van online bibliotheken in Finland.

Het bedrijf Abritel weigert zijn huurgegevens door te geven aan de stad Parijs, omdat de stad voor het verzamelen van de gegevens gebruikmaakt van een dienstverlener die de gegevens doorgeeft aan de Verenigde Staten.

De rechtbank van Parijs oordeelde in haar vonnis van 30 november 2022 ten gunste van Abritel.

Afgelopen december concludeerde de Finse autoriteit voor gegevensbescherming dat vier steden onder andere op onrechtmatige wijze persoonsgegevens naar de Verenigde Staten hadden overgedragen via Google Analytics en Google Tag Manager in de onlinediensten van hun openbare bibliotheken.

De complexiteit van overdrachten is vandaag de dag vooral een gevolg van de arresten “Schrems I” en “Schrems II” van het Hof van Justitie van de Europese Unie van respectievelijk oktober 2015 en juli 2020.

Deze uitspraken maakten opeenvolgende overeenkomsten tussen de EU en de Verenigde Staten, gesloten onder de namen Safe Harbour Principles en Privacy Shield, ongeldig.

In zijn uitspraak uit 2020 oordeelde het Hof dat het Privacy Shield in beginsel weliswaar een beschermingsniveau biedt dat in grote lijnen gelijk is aan dat van de Europese Unie, maar dat het in de praktijk zijn effectiviteit verliest door concrete vereisten met betrekking tot de nationale veiligheid, het algemeen belang en de naleving van het Amerikaanse recht.

Het oordeelde dat de reikwijdte van de toezichthoudende bevoegdheden van de Amerikaanse autoriteiten buitensporig was in overeenstemming met het Europees recht en dat de rechten van niet-Amerikaanse burgers om in beroep te gaan bij onafhankelijke rechtbanken niet gegarandeerd waren.

Sinds de publicatie van dit besluit moeten verwerkingsverantwoordelijken die onder de AVG vallen, speciale voorzorgsmaatregelen treffen vóór elke doorgifte van persoonsgegevens naar de Verenigde Staten.

Het gebruik van contractuele clausules die gegevensbescherming garanderen, blijft een optie, op voorwaarde dat er specifieke controles worden uitgevoerd met betrekking tot de inhoud van de clausules, de context van de doorgifte en het toepasselijke rechtsstelsel in het derde land (met name inzake nationale veiligheid).

Indien de situatie bijzondere risico’s met zich meebrengt, dient de verwerkingsverantwoordelijke aanvullende maatregelen te nemen.

Vorig jaar heeft de Commissie gemoderniseerde "standaardcontractbepalingen" aangenomen om het gebruik ervan te vergemakkelijken en heeft zij praktisch advies voor bedrijven gepubliceerd.

Ook het Europees Comité voor gegevensbescherming heeft in zijn aanbevelingen van 18 juni 2021 de controles toegelicht die moeten worden uitgevoerd als onderdeel van een doorgifte-impactanalyse.

Het kan echter lastig zijn om aan dergelijke eisen te voldoen als de ontvanger van de gegevens een dominante positie heeft.

Een eenvoudigere oplossing is in dergelijke gevallen om gebruik te maken van gegevensverwerkingsoplossingen die zich in de Europese Unie bevinden.

Op 13 december publiceerde de Europese Commissie, na maandenlange onderhandelingen met de Verenigde Staten, haar langverwachte ontwerpbesluit over het niveau van gegevensbescherming in de Atlantische Oceaan.

Onder de rechten waarvan EU-burgers onder het nieuwe wettelijk kader zullen profiteren, noemt de Europese Commissie de garantie op rechtsmiddelen, waaronder vrije toegang tot onafhankelijke geschillenbeslechtingsmechanismen en een arbitragepanel.

Verder worden er een aantal beperkingen en waarborgen genoemd met betrekking tot de toegang tot gegevens door Amerikaanse overheidsinstanties, met name voor rechtshandhavings- en nationale veiligheidsdoeleinden.

Deze garanties vloeien voort uit nieuwe regels die zijn ingevoerd bij Amerikaans decreet van 7 oktober 2022, waarin antwoord werd gegeven op de vragen die het Hof van Justitie van de EU in het Schrems II-arrest had gesteld.

Voordat een definitief besluit kan worden genomen, moet het ontwerp worden beoordeeld door de Europese Raad voor Gegevensbescherming (EDPB).

Deze beoordeling kan binnen ongeveer twee maanden tot een besluit leiden.

Het ontwerpbesluit moet vervolgens worden goedgekeurd door het comité van vertegenwoordigers van de EU-lidstaten.

Het Europees Parlement heeft ook het recht om adequaatheidsbesluiten te herzien.

Zal de definitieve beslissing die volgend voorjaar wordt verwacht, de gehoopte garanties bieden op het gebied van gegevensbescherming, waar eerdere afspraken tekortschoten?

De Europese Toezichthouder voor gegevensbescherming (EDPS) reageerde onlangs optimistisch op het project: "Dit is anders dan wat we zagen met Safe Harbor. Dit is niet wat we zagen met Privacy Shield. Dit is iets nieuws en veelbelovends."

Max Schrems heeft van zijn kant al aangekondigd dat hij bereid is een derde juridische stap te ondernemen als de tekst de grondrechten van Europeanen niet effectief beschermt.

En ook

Frankrijk:

De startup Lusha, die ervan wordt beschuldigd de zakelijke telefoonnummers en e-mailadressen van 1,5 miljoen Fransen te hebben gestolen, valt niet onder de AVG, aldus de beperkte commissie van de CNIL die verantwoordelijk is voor het opleggen van sancties.

Het debat concentreerde zich op de interpretatie van artikel 3(2)(b) van de Verordening, dat voorziet in de toepassing van Europees recht op bedrijven die niet in de EU zijn gevestigd wanneer zij “monitoring van het gedrag” van betrokkenen uitvoeren: in haar beraadslaging van 20 december 2022 distantieerde de CNIL zich van de conclusies van haar rapporteur en “is van mening dat het online verzamelen of analyseren van persoonsgegevens met betrekking tot personen in de Unie niet automatisch als “monitoring” zou worden beschouwd”, en acht het noodzakelijk om rekening te houden met het doel van de gegevensverwerking en met name met eventuele daaropvolgende gedragsanalyse- of profileringstechnieken die met deze gegevens worden gebruikt.

Op 29 december legde de CNIL TikTok een boete van € 5.000.000 op. voor het implanteren van reclame-identificatiemiddelen op de apparaten van gebruikers zonder hun voorafgaande toestemming.

Ook de cookiebanner van TikTok werd als onvoldoende informatief beschouwd.

Op dezelfde dag werd ook het bedrijf VOODOO gesanctioneerd, een uitgever van smartphonegames, kreeg een boete van € 3 miljoen voor het gebruiken van een voornamelijk technische identificatiecode voor reclame zonder toestemming van de gebruikers.

In tegenstelling tot de huidige trend heeft de gemeenteraad van Montpellier op 16 december, na afloop van een presentatie over gezichtsherkenning in het kader van videobewaking en openbare vrijheden, besloten om "het gebruik van geautomatiseerde beeldanalyse op basis van persoonsgegevens of individuele gegevens" in de openbare ruimte te verbieden.

Het wetsvoorstel over de inzet van kunstmatige intelligentie in het kader van de Olympische Spelen van 2024 werd op 24 januari door de Senaat goedgekeurd.

De CNIL heeft opmerkingen over deze tekst opgesteld en daarbij opgemerkt dat verschillende maatregelen in lijn zijn met haar aanbevelingen: experimentele inzet, beperkt in tijd en ruimte, voor bepaalde specifieke doeleinden en overeenkomend met ernstige risico's voor personen, geen verwerking van biometrische gegevens en afstemming met andere bestanden, en beslissingen die onderworpen zijn aan voorafgaande menselijke tussenkomst.

De CNIL benadrukte ook het indringende karakter van de bepalingen die voorzien in de verwerking van genetische gegevens voor antidopinganalyses.

Europa:

Naar aanleiding van de klacht van de Ierse Raad voor Burgerlijke Vrijheden (ICCL) en het besluit van de Europese Ombudsman van 19 december 2022 heeft de Europese Commissie toegezegd de manier waarop gegevensbeschermingsautoriteiten omgaan met AVG-inbreuken waarbij grote technologiebedrijven betrokken zijn, te herzien.

Er worden metingen gedaan van de tijd die nodig is voor elke stap van elke procedure en van de voortgang ervan. Deze evaluatie wordt zes keer per jaar uitgevoerd.

De Europese Raad voor Gegevensbescherming (EDPB) heeft een werkgroep opgericht die zich in detail gaat verdiepen in kwesties rondom cookies..

In een conceptrapport van 17 januari verduidelijkt de EDPB de specifieke praktijken die illegaal zijn, waaronder:

• Het ontbreken van een opt-out-optie op de homepagina
• Vooraf aangevinkte vakjes
• Links naar de opt-out-optie in kleine letters in aparte tekst
• Links naar de opt-out-optie buiten de cookiebanner
• Het claimen van een legitiem belang bij het installeren van niet-essentiële cookies
• Het ontbreken van een permanente mogelijkheid om de toestemming in te trekken.

De EDPB verduidelijkt dat deze conclusies een minimumdrempel weerspiegelen bij de beoordeling van cookies.

Ze zouden moeten worden gecombineerd met de vereisten van de e-privacyrichtlijn en gelezen in het licht van het andere werk van de EDPB over dark patterns.

De speciale commissie van het Europees Parlement (PEGA) gaat het gebruik van Pegasus onderzoeken en andere spyware-surveillancesoftware zet haar werk voort door studies, deskundigenhoorzittingen en onderzoeksbezoeken uit te voeren aan Israël, Polen en Griekenland. De conceptaanbevelingen worden op 10 juni aan het parlement gepresenteerd.

Op 25 januari organiseerde de NGO EDRi haar jaarlijkse conferentie, het Privacy Camp. die verdedigers van digitale rechten, activisten, academici en beleidsmakers samenbrengt rondom actuele kwesties op het gebied van mensenrechten.

De presentaties zijn online beschikbaar via de website van het evenement.

In een belangrijk arrest van 12 januari 2023 (zaak C-154/21) heeft het Hof van Justitie van de Europese Unie bevestigd dat de verwerkingsverantwoordelijke verplicht is om aan iedereen die daarom verzoekt de lijst met exacte ontvangers van hun persoonsgegevens wanneer deze met derden zijn gedeeld, en niet alleen categorieën van ontvangers.

Het HvJ-EU heeft in een ander arrest van 12 januari (zaak C-132/21) bepaald dat De administratieve en civiele rechtsmiddelen die de AVG biedt, kunnen gelijktijdig en onafhankelijk van elkaar worden uitgeoefend. van elkaar.

Zo kunnen over hetzelfde onderwerp parallelle klachtenprocedures bij de gegevensbeschermingsautoriteiten (DPA's) en gerechtelijke procedures worden gestart.

Het is de taak van de lidstaten om ervoor te zorgen dat het parallel inzetten van deze rechtsmiddelen de consistente en uniforme toepassing van de verordening niet ondermijnt.

Het Britse wetsvoorstel inzake onlineveiligheid wordt momenteel in het parlement besproken.

De tekst, die gericht is op de bescherming van kinderen, identificeert risicovolle inhoud, met name zelfbeschadigende inhoud, 'deep fakes' en het delen van intieme afbeeldingen zonder toestemming, die als nieuwe strafbare feiten worden gedefinieerd.

Critici wijzen op het gebrek aan definitie of precisie in de tekst, wat zou leiden tot het veelvuldig verwijderen van inhoud en het instellen van grootschalig toezicht.

De website "enforcementtracker" presenteert een overzicht van de financiële sancties die door de toezichthoudende autoriteiten zijn opgelegd in toepassing van de AVG: het jaar 2022 eindigde met een totaalbedrag van meer dan 830 miljoen euro voor 448 sancties, vergeleken met 1,3 miljard euro in 2021.

Het is geen verrassing dat Ierland, de thuisbasis van de grootste technologiebedrijven, de koppositie bekleedt met meer dan 80.000 boetes.

De Ierse DPA kondigde donderdag 19 januari een boete van € 5,5 miljoen aan WhatsApp aan, naast soortgelijke beslissingen tegen Facebook en Instagram.

De wettelijke basis die WhatsApp hanteert voor de verwerking van persoonsgegevens (verbetering van de dienstverlening en beveiliging) blijkt in strijd te zijn met het Europees recht.

Deze beslissing is bekritiseerd door het maatschappelijk middenveld. Zij stellen dat de centrale kwestie van het gebruik van gegevens voor gedragsgerichte reclame, marketing, het verstrekken van metrische gegevens aan derden en de uitwisseling van gegevens met gelieerde ondernemingen niet is aangepakt door de Ierse autoriteit, ondanks het besluit van de EDPB dat op 24 januari is gepubliceerd.

Noorse ODA vastgesteld dat een koeriers- en logistiekbedrijf artikel 32 van de AVG heeft overtreden vanwege een onvoldoende risicobeoordeling en het ontbreken van passende beveiligingsmaatregelen.

De applicatie gebruikte telefoonnummers als enige authenticatiemiddel om toegang te krijgen tot het profiel van de klant.

Spaanse autoriteit was van oordeel dat de Nationale Commissie tegen Geweld, Racisme, Vreemdelingenhaat en Intolerantie in de Sport zich niet kon beroepen op de uitzondering van algemeen belang van artikel 9(2)(g) van de AVG voor de verwerking van biometrische gegevens van voetbalfans die stadions betreden.

Italiaanse ODA legde een sportclub een boete op van € 20.000,- omdat deze illegaal een vingerafdruksysteem gebruikte om de aanwezigheid van werknemers op het werk te registreren.

Ook kreeg energieleverancier Areti een boete van € 1 miljoen omdat het bedrijf een aantal klanten ten onrechte als fraudeur had bestempeld, waardoor ze niet van energieleverancier konden wisselen.

Estse ODA was van oordeel dat het gebruik van CCTV-camera’s voor het monitoren van werknemers niet gebaseerd kan zijn op toestemming, maar enkel op een gerechtvaardigd belang in de zin van artikel 6(1)(f) van de AVG, op voorwaarde dat een geldige beoordeling van dat belang is uitgevoerd.

Internationale

‘Privacy by Design’ wordt een internationale standaardOp 8 februari keurt de Internationale Organisatie voor Standaardisatie (ISO) de ISO 31700-norm goed.

Dit omvat 30 vereisten en richtlijnen voor de beginselen van privacy by design.

VERENIGDE STATEN: Naast het ontwikkelen van technische standaarden (NIST Risk Management Framework) op het gebied van AI-beleid, heeft het Witte Huis een concept-AI Bill of Rights gepubliceerd.

Ook in verschillende Amerikaanse staten wordt gewerkt aan wetgeving op dit gebied.

President Biden herhaalde deze aanbevelingen onlangs in een column voor de Wall Street Journal, waarin hij de inspanningen van zijn regering belicht om algoritmische discriminatie te bestrijden, algoritmische transparantie te bevorderen en wetgeving voor AI-bestuur te implementeren.

Ook op het gebied van AI is de Op 27 januari ondertekenden de Europese Commissie en de Amerikaanse regering een 'administratieve overeenkomst over kunstmatige intelligentie voor het algemeen belang'.

De overeenkomst werd ondertekend in het kader van de EU-VS Handels- en Technologieraad (TTC).

Microsoft maakte medio december op haar blog bekend dat het de opslag van de gegevens van haar Europese klanten binnen de Europese Unie zou verplaatsen.

Dit programma lost echter niet alle problemen op die verband houden met de toegang van de Verenigde Staten tot Europese gegevens.

Dankzij de Cloud Act kunnen Amerikaanse strafrechtelijke autoriteiten toegang krijgen tot gegevens van Amerikaanse aanbieders van clouddiensten, ongeacht waar de gegevens zijn opgeslagen en zonder dat daarvoor een procedure via internationale wederzijdse rechtshulp hoeft te worden gestart.

Australië is al enkele maanden het slachtoffer van cyberaanvallen die gericht waren op overheidsinstanties en de particuliere sector.

Het land vermoedt aanvallen van Russische en Chinese oorsprong, die tot doel hebben de instellingen en het bedrijfsleven van het land plat te leggen en rechtstreeks invloed uit te oefenen op het leven van burgers door de grootschalige verspreiding van persoonlijke gegevens.

Voor sommigen is dit een voorproefje van wat westerse landen te wachten staat. Zo kampten verschillende Duitse spoorwegsystemen onlangs met vreemde storingen.

Nadat het afgelopen maart was aangekondigdDe Russische regering trekt zich formeel terug uit Verdrag 108 van de Raad van Europa over gegevensbescherming evenals alle andere internationale verdragen van de Raad van Europa.

Na deze aankondiging heeft de Raad op zijn beurt een formeel mechanisme in werking gesteld en het lidmaatschap van Rusland eenzijdig beëindigd.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.