De privacy maand is terug met sappig nieuws: de European Data Protection Board heeft belangrijke dingen gedaan, Google wordt geconfronteerd met nog een antitrust rechtszaak in de VS, en meer. Oh, en de Amerikaanse no-fly lijst is gestolen - yup, dat lees je goed.
- Cruciale data transferzaak gaat naar EDPB
- No Fly-lijst gestolen
- Antitrustzaak tegen Google
- DPC beboet Meta, kondigt juridische stappen aan tegen EDPB
- EDPB taskforce pakt cookiebanners aan
- Europese Commissie controleert voortgang grootschalige GDPR-zaken
- Franse waakhond op boetebaan
- EU mag politieke reclame hard aanpakken
- TikTok CEO moet getuigen voor het Congres
Laten we erin duiken!
Cruciale data transferzaak gaat naar EDPB
In weer een ander hoofdstuk van de gegevensoverdrachtsaga zal het Europees Comité voor gegevensbescherming (het comité dat bestaat uit alle Europese gegevensbeschermingsautoriteiten en de Europese Toezichthouder voor gegevensbescherming) het laatste woord hebben over het onderzoek van de Ierse gegevensbeschermingsautoriteit naar de gegevensoverdrachten van Meta Ireland. De autoriteit heeft al een besluit opgesteld om de doorgifte van gegevens voor Facebook afgelopen juli stop te zetten, maar andere gegevensbeschermingsautoriteiten maakten bezwaar, zodat de EDPB de zaak zal regelen met een bindend besluit.
Dit is een opvallende zaak met betrokkenheid van de EDPB, dus de uitkomst zal zeker een belangrijke invloed hebben op de manier waarop gegevensbeschermingsautoriteiten soortgelijke zaken zullen behandelen. De beslissing van de Raad zal interessant zijn om te lezen en ons enig inzicht geven in het standpunt van de individuele gegevensbeschermingsautoriteiten over de controversiële kwestie van gegevensoverdrachten.
De juridische aspecten van gegevensoverdracht zijn inmiddels een lang verhaal. Als u nieuwsgierig bent, hebben we er hier over geschreven.
No Fly-lijst gestolen
De Amerikaanse Transportation Security Administration onderzoekt momenteel het lek van de 2019-versie van de federale No Fly-lijst. De hack werd opgeëist door een Zwitserse hacktivist die de lijst zou hebben gevonden op een onbeveiligde server van de Amerikaanse luchtvaartmaatschappij CommuteAir. De hacktivist publiceerde de lijst niet, maar zei dat ze deze beschikbaar zal stellen aan geselecteerde journalisten en onderzoekers.
De No Fly lijst is een lijst van bekende of verdachte terroristen die niet aan boord van vluchten mogen. De lijst is zeer controversieel en is alom bekritiseerd vanwege het gebrek aan transparantie en de vooringenomenheid tegen de religieuze moslimminderheid. Volgens de hacktivist bevat de versie in haar bezit namen en geboorteplaatsen van meer dan een miljoen personen, zowel Amerikaanse onderdanen als buitenlanders.
Antitrustzaak tegen Google
Het Amerikaanse ministerie van Justitie en de procureurs-generaal van acht staten hebben een antitrustzaak aangespannen tegen het moederbedrijf Alphabet Inc. van Google, met als doel het bedrijf op te breken en zijn controle over de digitale reclamemarkt te verminderen.
Google is niet nieuw in antitrustzaken: een rechtszaak over Google's monopolie op de internetzoekmarkt werd in 2020 aangespannen door het DOJ en afgewezen. Ook andere grote techbedrijven liggen onder vuur: Meta is betrokken bij twee rechtszaken over zijn dominante positie op de markt voor sociale netwerken, en de voorgenomen overname van VR-bedrijf Within. En onlangs heeft de Federal Trade Commission Microsoft voor de rechter gedaagd in een poging om de overname van videogamebedrijf Activision Blizzard tegen te houden.
Al met al lijkt het DOJ onder de regering Biden een zeer proactieve houding aan te nemen ten aanzien van antitrustkwesties, wat in de toekomst tot interessante ontwikkelingen zou kunnen leiden.
DPC beboet Meta, kondigt juridische stappen aan tegen EDPB
Zoals beschreven in het privacy maandblad van januari, heeft de Ierse DPA (DPC) boete opgelegd aan Meta Ierland voor €390M voor het onrechtmatig targeten van Facebook en Instagram gebruikers met gepersonaliseerde reclame. De vroege (en zeer milde) beslissingen van de DPC werden herzien door de EDPB in het kader van het mechanisme voor geschillenbeslechting en werden grotendeels verworpen, wat de autoriteit ertoe aanzette nieuwe beslissingen te nemen.
Het verhaal is nog niet helemaal afgelopen. De EDPB heeft later een derde, vrijwel identiek geschil rond Whatsapp beslecht. Dit leidde ertoe dat de DPC op 12 januari aan Meta-eigendom WhatsApp Ierland een boete oplegde van 5 miljoen euro. De DPC kondigde ook juridische stappen aan bij het Hof van Justitie van de EU om het bevel van de EDPB tot nader onderzoek naar de gegevensverwerking door Meta nietig te laten verklaren. Volgens de DPC is het bevel een schending van zijn onafhankelijkheid, aangezien de EDPB niet bevoegd is om het onderzoek van een gegevensbeschermingsautoriteit te leiden.
Alle beslissingen benadrukken radicale onenigheid tussen de DPC en andere gegevensbeschermingsautoriteiten, waarbij tal van autoriteiten bezwaar maken tegen de standpunten van de DPC en aandringen op een veel striktere interpretatie van de GDPR. Juridische stappen van de DPC zullen de wrijving met haar Europese tegenhangers waarschijnlijk nog vergroten.
EDPB taskforce pakt cookiebanners aan
Jup, dit was een drukke maand voor de EDPB. Vorig jaar heeft de raad een taskforce cookiebanners opgericht om de reactie te coördineren op de talrijke klachten die NGO noyb heeft ingediend tegen misleidende cookiebanners. Op 17 januari publiceerde de task force zijn rapport.
Het document gaat over veel voorkomende gevallen van misleidend ontwerp in cookiebanners, zoals het dwingen van de gebruiker om extra stappen te doorlopen om cookies te weigeren of het nauwelijks zichtbaar maken van de afwijzingsoptie. De taskforce was het er grotendeels over eens dat dergelijke praktijken illegaal zijn. Het document is niet juridisch bindend voor de gegevensbeschermingsautoriteiten, maar in de praktijk kan het een stap zijn naar een aanpak van misleidende banners op Europees niveau.
Als u meer wilt weten, hebben we het rapport behandeld op onze blog.
Europese Commissie controleert voortgang grootschalige GDPR-zaken
Na actie van de Ierse Raad voor burgerlijke vrijheden en een uitwisseling met de EU-ombudsman heeft de Europese Commissie toegezegd regelmatig toezicht te houden op het onderzoek van grootschalige, grensoverschrijdende GDPR-zaken in heel Europa. De gegevensbeschermingsautoriteiten van elke lidstaat zullen om de twee maanden verslag uitbrengen over hun vooruitgang in dergelijke zaken. De Commissie zal zelf een verslag publiceren over de informatie die zij ontvangt, om het publiek enig inzicht te bieden in de stand van de GDPR-handhaving.
Veel belangrijke privacyzaken tegen big tech komen voort uit grensoverschrijdende klachten, en het duurt vaak eeuwen voordat die worden opgelost. De recente boetes van de DPC tegen Meta zijn een goed voorbeeld - de klachten werden al in 2018 beboet! Hopelijk zal het nieuwe meldingssysteem de zaken versnellen.
Franse waakhond op boetebaan
De Franse DPA (CNIL) is de laatste tijd behoorlijk actief, en het is slecht nieuws voor big tech. Binnen een maand werden zowel TikTok als Microsoft beboet wegens niet-conform gebruik van cookies en misleidende cookiebanners (voor respectievelijk 8 miljoen euro en 60 miljoen euro), en Apple kreeg een boete van 8 miljoen euro voor het illegaal volgen van gebruikers van iOS 14.6 voor reclamedoeleinden.
De timing van de besluiten is zeer toepasselijk: de besluiten tegen TikTok en Microsoft sluiten perfect aan bij het onlangs gepubliceerde rapport van de EDPS-taskforce cookiebanners. De CNIL is een invloedrijke gegevensbeschermingsautoriteit en haar beslissingen zullen hopelijk een voorbeeld zijn voor andere autoriteiten om cookiezaken strikt te behandelen.
EU mag politieke reclame hard aanpakken
De Commissie interne markt en consumentenbescherming (IMCO) van het Europees Parlement heeft overeenstemming bereikt over een ontwerpverordening om de regels voor politieke reclame aan te scherpen. Leden van het Parlement stellen ook voor om niet-EU-entiteiten te verbieden politieke reclame te financieren in de EU.
Als de Unie het ontwerp van de IMCO volgt, zullen politieke advertenties alleen nog zijn toegestaan op basis van persoonsgegevens die uitdrukkelijk voor dat specifieke doel zijn verstrekt. Dit zou het einde betekenen van gerichte politieke advertenties op sociale netwerken - en in het licht van het Cambridge Analytica-schandaal is dat waarschijnlijk het beste.
TikTok CEO moet getuigen voor het Congres
TikTok CEO Shou Zi Chew heeft ermee ingestemd om in maart te getuigen voor het House Energy and Commerce Committee van het Amerikaanse Congres. De heer Chew zal proberen het Congres gerust te stellen en de beweringen dat de app gebruikersgegevens beschikbaar stelde aan de Chinese Communistische Partij te weerleggen.
TikTok's vermeende beveiligingsproblemen zijn al jaren een controversieel onderwerp. Prominente politieke figuren beweren dat de Chinese Communistische Partij de app zou kunnen gebruiken om de persoonlijke gegevens van Amerikaanse burgers te verzamelen of hun blootstelling aan inhoud te beïnvloeden. TikTok heeft deze aantijgingen stelselmatig ontkend en beweert dat Bytedance geen banden heeft met de partij.