Op weg naar een Europa van gegevensbescherming: de weg is nog lang.

Juridische Watch nr. 36 – Juni 2021

Op weg naar een Europa van gegevensbescherming: de weg is langDe Algemene Verordening Gegevensbescherming wekte bij de inwerkingtreding veel verwachtingen wat betreft duidelijkheid en effectiviteit.

Terwijl de Europese richtlijn die hierdoor werd vervangen al een relatief precies en bindend wettelijk kader bood, was de AVG bedoeld om een geharmoniseerde implementatie van deze beginselen mogelijk te maken, ongeacht waar de betreffende bedrijven zich in de Europese Unie bevinden.

Ook de van toepassing zijnde, naar boven bijgestelde sancties moesten door de toezichthoudende autoriteiten worden beoordeeld aan de hand van een coherent analyseschema.

Er blijken namelijk nog steeds veel valkuilen te zijn die deze langverwachte harmonisatie beperken.

De Duitse commissaris Johannes Caspar, die na twaalf jaar aan het hoofd van de toezichthoudende autoriteit van de deelstaat Hamburg staat, houdt vol en zet in juni zijn handtekening onder een verklaring waarin hij de tekortkomingen in de uitvoering van de AVG aan de kaak stelt.

Oorzaak zijn de lange en complexe procedures die moeten worden doorlopen voordat alle autoriteiten, die bijeen zijn in het Europees Comité voor gegevensbescherming (EDPB), tot een gemeenschappelijk standpunt kunnen komen.

De AVG heeft een zogenaamde "one-stop shop"-procedure in het leven geroepen, die voorziet in de bevoegdheid van een leidende autoriteit, namelijk die van het land waar de hoofdvestiging is van de onderneming die bij het onderzoek is betrokken.

Deze leidende instantie moet echter in de verschillende fasen van de procedure samenwerken met de andere betrokken nationale instanties.

In de praktijk is er sprake van centralisatie van onderzoeken onder de Ierse autoriteit, die bevoegd is om de meeste zaken tegen GAFAM, gevestigd op haar grondgebied, te leiden. Er zouden 28 procedures lopen bij deze autoriteit, die bekritiseerd wordt vanwege de trage en soepele procedures met betrekking tot grote technologiebedrijven zoals Facebook en Twitter, wat naar verluidt aanleiding geeft tot lange en moeizame discussies met haar collega's binnen de EDPS.

De commissaris van de Autoriteit Hamburg dringt erop aan dat de toezichthoudende autoriteiten tijdig duidelijke en afschrikkende signalen afgeven, zodat verwerkingsverantwoordelijken overal in de Europese Unie op gelijke wijze en zonder concurrentievervalsing aan de regels voldoen.

Opgemerkt dient te worden dat dit probleem door het Comité zelf werd aangekaart in zijn jaarverslag van 2020 en dat het verbeteren van de samenwerking tussen de autoriteiten een van zijn prioriteiten voor 2021-2022 is.

We willen hieraan toevoegen dat het "éénloketsysteem" weliswaar te kampen heeft met procedurele omslachtigheid, maar dat het voor iedere burger van de Europese Unie het voordeel heeft dat hij of zij een klacht kan indienen bij de nationale toezichthoudende autoriteit, zelfs als de verwerkingsverantwoordelijke in een ander land is gevestigd. De bevoegde autoriteiten zijn verantwoordelijk voor de samenwerking bij de behandeling van de klacht.

Als de klager niet tevreden is met de uitkomst van het onderzoek, kan hij of zij ook verhaal halen in zijn of haar eigen land.

Het Hof van Justitie van de Europese Unie heeft in een arrest van 15 juni ook gewezen op de manoeuvreerruimte van autoriteiten die niet de hoofdautoriteiten zijn bij de behandeling van grensoverschrijdende klachten.

In het kader van een geschil tussen Facebook (gevestigd in Ierland) en de Belgische gegevensbeschermingsautoriteit oordeelde het Hof dat de Belgische autoriteit, hoewel niet de leidende autoriteit, bepaalde schendingen van de AVG door Facebook voor de Belgische rechtbanken kon brengen.

Deze voorwaarden zijn echter beperkt tot gevallen die een spoedeisend karakter hebben (artikel 66 AVG) of tot lokale gevallen (artikel 56.2 AVG). Deze uitspraak betekent dus niet het einde van het éénloketsysteem, maar specificeert de uitzonderingen op de toepassing ervan. Het principe van samenwerking tussen overheden blijft dus de norm.

En ook

Frankrijk:

Op 30 juni publiceerde de CNIL de derde versie van haar software die privacy-impactanalyses mogelijk maakt.

Deze nieuwe versie begeleidt beheerders bij het uitvoeren van hun impactanalyse en maakt het mogelijk om kennisbanken te ontwikkelen, parallel aan die van de CNIL.

De beperkte commissie van de CNIL heeft het bedrijf een boete van 500.000 euro opgelegd Bricoprivé voor

• Het versturen van e-mails voor prospectie zonder toestemming van de betrokkenen en het niet naleven van diverse andere AVG-verplichtingen:
  • Het niet naleven van de bewaartermijnen voor gegevens die het bedrijf voor zichzelf heeft vastgesteld,
  • Het niet nakomen van informatieverplichtingen en het recht op gegevenswissing, en
  • Gebrek aan sterke wachtwoorden met betrekking tot gegevensbeveiliging.

De CNIL stelde ook vast dat er cookies werden gebruikt zonder toestemming van de gebruiker.

Europa:

Op 4 juni publiceerde de Europese Commissie een nieuwe versie van de standaardcontractbepalingen, die bedoeld zijn om internationale gegevensoverdrachten te vergemakkelijken.

Deze clausules houden rekening met de gevolgen van het Schrems II-arrest van het Europees Hof van Justitie met betrekking tot de risico's die verbonden zijn aan toegang tot gegevens door autoriteiten van derde landen, met name in het kader van de nationale veiligheid.

Tegelijkertijd heeft het Europees Comité voor gegevensbescherming op 18 juni aanbevelingen gedaan die erop gericht zijn om verwerkingsverantwoordelijken te helpen bij het analyseren van de risico's van gegevensonderschepping en hen in staat te stellen aanvullende beschermingsmaatregelen te nemen.

Kunstmatige intelligentie:

De Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming hebben gezamenlijk een oproep gepubliceerd voor een verbod op het gebruik van AI voor

• Automatische herkenning van biometrische gegevens in de openbare ruimte,
• Sociale scoring, ook via sociale media, en
• Het gebruik van AI om de emotionele toestand van mensen te identificeren.

Dit standpunt sluit aan bij de publicatie van het voorstel van de Europese Commissie over AI op 21 april.

Internationale gegevensoverdrachten:

De Europese Commissie publiceerde op 28 juni haar aanbevelingen adequaatheidsbesluiten met betrekking tot het Verenigd Koninkrijk.

De ene betreft de vereisten van de AVG en de andere de Europese richtlijn over politiële verwerking.

Een nieuw element is dat de Commissie een "zonsondergangclausule" waardoor de geldigheidsduur van de beslissingen wordt beperkt tot vier jaar.

De besluiten kunnen worden verlengd als het beschermingsniveau in het Verenigd Koninkrijk nog steeds voldoet aan de Europese vereisten.

Onderwerpen die zorgen baren zijn onder meer de Britse plannen voor nieuwe handels- en datavrije overeenkomsten met opkomende economieën.

België staat in het vizier van de Europese Commissie, die een inbreukprocedure op de AVG is gestart met betrekking tot de onafhankelijkheid van haar gegevensbeschermingsautoriteit.

De reden hiervoor is dat meerdere leden lid zijn van overheidsinstanties.

Internationaal :

Een internationale coalitie van meer dan 55 organisaties voor consumentenbescherming, burgerrechten en niet-gouvernementele organisaties roept op tot het verbod op reclame die gebaseerd is op het volgen en profileren van individuen.

De reden voor dit standpunt was een rapport van de Noorse Consumentenraad, waarin de gevolgen van toezichtpraktijken in commerciële aangelegenheden voor de samenleving werden blootgelegd.

Op 16 juni heeft de Europese Commissie een procedure in gang gezet die gericht is op de erkenning van de Toereikendheid van gegevensbescherming in Zuid-Korea.

De Chinese autoriteiten hebben op 10 juni de aanname van een wet betreffende gegevensbeveiliging aangekondigd, die ook gericht is op de bescherming van de rechten en belangen van de personen van wie de gegevens worden verwerkt.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.