Mei was bewogen. Die ene langverwachte beslissing over gegevensoverdracht kwam er eindelijk, verpakt in een boete van tien cijfers voor Meta. Linkedin is de volgende in de rij voor de grote GDPR-boetes. Het EU-parlement verzette zich tegen het Trans-Atlantic Data Privacy Framework en nog veel meer.
En laten we niet vergeten: Er is een puinhoop aan de gang over privacy en mensenrechten in het Amerika van na Nobbs tegen Jackson, en Big Tech staat (niet verrassend) aan de verkeerde kant.
- Facebook getroffen door verbod op gegevensoverdracht en recordboete
- EU-parlement tegen VS-raamwerk voor gegevensoverdracht
- Google belooft gevoelige locatiegegevens te wissen, maar komt zijn beloften niet na
- Linkedin krijgt grote boete over gerichte reclame
- Voorgestelde chatregeling waarschijnlijk illegaal
- Nog twee privacywetten in de VS
- Ana Talus verkozen tot EDPB-voorzitter
- Twitter kan de DSA niet verlaten
Laten we erin duiken!
Facebook getroffen door verbod op gegevensoverdracht en recordboete
Op 22 mei beval de Ierse commissaris voor gegevensbescherming Meta Platforms Ireland om gegevensoverdrachten voor Facebook op te schorten en schreef een recordboete van €1,2 miljard uit. Meta kreeg ook de opdracht om persoonlijke gegevens te wissen die al naar de VS waren doorgestuurd.
De beslissing is het resultaat van een tien jaar durende juridische strijd waarbij privacy-advocaat Max Schrems, de DPC, de Ierse justitie, het Europese Hof van Justitie en het Europees Comité voor gegevensbescherming betrokken waren. Het College speelde een belangrijke rol in de beslissing door er bij de DPC op aan te dringen een boete op te leggen en het wissen van persoonsgegevens te gelasten.
Meta is van plan de beslissing aan te vechten en te vragen om opschorting van de beslissing van het College. Dit geeft het bedrijf meer tijd tot het Trans-Atlantic Data Privacy Framework volledig is geïmplementeerd, waardoor een EU-brede black-out van Facebook wordt voorkomen.
Dit is een mijlpaal voor de handhaving van de GDPR-regels voor gegevensoverdracht en we hebben deze zaak uitgebreid besproken op onze blog.
EU-parlement tegen VS-raamwerk voor gegevensoverdracht
De LIBE-commissie van het Europees Parlement heeft in april unaniem het voorgestelde trans-Atlantische dataprivacyraamwerk verworpen. Op 11 mei volgde het EU-parlement. Geen van beide stemmingen is juridisch bindend voor de Europese Commissie.
Het Parlement erkende dat het kader een verbetering is ten opzichte van zijn voorganger (het Privacy Shield), maar uitte ook zorgen over onder andere het verzamelen van inlichtingen in bulk en een gebrek aan transparantie in het verhaalmechanisme. Het Parlement vraagt zich ook af of het nieuwe kader de toetsing door het Hof van Justitie van de EU zal overleven.
De stemming van het Parlement zal de Commissie er waarschijnlijk niet van weerhouden het kader volledig te implementeren. Naar alle waarschijnlijkheid zal de voorspelbare juridische uitdaging voor het Hof van Justitie een vuurdoop zijn voor het nieuwe kader en het moment van de waarheid voor de doorgifte van gegevens tussen de EU en de VS.
Google belooft gevoelige locatiegegevens te wissen, maar komt zijn beloften niet na
Uit een recent onderzoek van The Washington Post blijkt dat Google zijn belofte om gezondheidsklinieken en andere "gevoelige" locaties uit de locatiegeschiedenis te wissen, niet nakomt.
Er staat veel op het spel: een jaar geleden vernietigde het Amerikaanse Hooggerechtshof de historische uitspraak Roe vs. Wade, die staten toestond abortus te verbieden. Conservatieve staten namen meteen anti-abortuswetten aan en nu vervolgt de politie abortuszoekers aan de hand van gegevens van Big Tech.
Privacy is een cruciale kwestie voor Amerikaanse vrouwen en Big Tech helpt daar op zijn zachtst gezegd niet bij.
Linkedin krijgt grote boete over gerichte reclame
Volgens Reuters verwacht Microsoft een boete in de orde van €400 miljoen van de Ierse commissie voor gegevensbescherming voor gerichte reclame op het sociale netwerk Linkedin. Andere details over de beslissing zijn niet bekend.
Maanden geleden legde de DPC Meta Ireland een boete op van in totaal €390M voor illegale gerichte reclame op de Facebook- en Instagram-platforms. De verwachte boete tegen Microsoft zou van Linkedin het derde sociale netwerk maken dat in korte tijd grote boetes krijgt voor gerichte reclame.
Voorgestelde chatregeling waarschijnlijk illegaal
Zoals The Guardian meldde, suggereert uitgelekt intern juridisch advies van de EU dat het controversiële voorstel van de Commissie voor een verordening tegen seksueel misbruik van kinderen illegaal zou kunnen zijn.
Volgens de documenten is het ontwerp in strijd met de normen voor elektronisch toezicht die zijn vastgelegd in de jurisprudentie van het Hof van Justitie. Dit betekent dat het Hof een toekomstige verordening waarschijnlijk ongeldig zal verklaren bij rechterlijke toetsing.
De voorgestelde verordening vereist dat aanbieders van communicatiediensten video's en afbeeldingen scannen om kinderpornografie op te sporen. Maar scansystemen kunnen niet worden geïmplementeerd zonder de end-to-endencryptie van populaire berichtendiensten zoals WhatsApp, Telegram en Signal aan te tasten.
Vanwege de impact op encryptie is het voorstel het middelpunt van een verhit juridisch en politiek debat tussen belangenorganisaties, regeringen en Europese instellingen.
Een soortgelijk debat wordt gevoerd over het wetsontwerp voor online veiligheid in het Verenigd Koninkrijk, waar veel belangenorganisaties en dienstverleners tegen zijn. WhatsApp heeft zelfs gedreigd de Britse markt te verlaten als het wetsontwerp wet zou worden.
Nog twee privacywetten in de VS
Op 8 mei heeft de staat Florida een nieuwe privacywet aangenomen. De Texaanse wetgever heeft ook een wetsvoorstel over gegevensprivacy aangenomen, dat naar verwachting dit weekend wet wordt.
Beide wetten richten zich op bedrijven en de rechten van betrokkenen en bevatten uitzonderingen voor kleine bedrijven. Opvallend is dat deze vrijstelling zeer ruim is in de wet van Florida in tegenstelling tot het ontwerp van Texas.
De VS heeft geen algemene federale privacywet. De enige federale regels voor gegevensbescherming zijn te vinden in sectorale wetgeving zoals HIPAA en COPPA. De onderhandelingen over een federale privacywet (de ADPPA) zijn tot stilstand gekomen en ondertussen nemen steeds meer staten hun eigen privacywetten aan.
Ana Talus verkozen tot EDPB-voorzitter
Op 25 mei werd Ana Talus, hoofd van de Finse gegevensbeschermingsautoriteit, de nieuwe voorzitter van het Europees Comité voor gegevensbescherming. De Cypriotische Irene Loizidou Nikolaidou wordt vicevoorzitter.
De EDPB heeft tot nu toe een centrale rol gespeeld bij de handhaving en interpretatie van de GDPR. De richtsnoeren van de EDPB hebben een grote invloed gehad op de interpretatie van de GDPR en andere EU-wetgeving op het gebied van gegevensbescherming. En recentelijk is de Board zelf direct betrokken geweest bij een aantal spraakmakende beslissingen waarbij Meta Ireland betrokken was.
De voormalige en eerste voorzitter van de EDPB was Andrea Jelinek, hoofd van de Oostenrijkse gegevensbeschermingsautoriteit.
Twitter kan de DSA niet verlaten
In een nogal verwarrende zet stapte Twitter op 26 mei uit de EU Code of Practice on Disinformation, maanden voordat de regels van de Digital Services Act over de verplichting tot content moderatie van kracht worden.
De zet leidde tot hatelijke opmerkingen van Europese commissarissen Thierry Breton en Vera Jourova. Aangezien de Commissie zelf de DSA handhaaft, is dit waarschijnlijk niet de beste start.
Voldoen aan de DSA zal niet makkelijk zijn voor online platforms en gezien de onvoorspelbare en grillige managementstijl van de nieuwe eigenaar, verwachten we dat Twitter meer moeite zal hebben dan anderen.