Privacy/Security nieuws

Het Oostenrijkse gerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. De vraag draait om het verschil tussen wanneer er sprake is van toestemming en een contract.

Onder de GDPR zijn er meerdere manieren om data te mogen verwerken; zo kan er bijvoorbeeld sprake zijn van toestemming van een gebruiker, of van een contract met een gebruiker. Voor de GDPR in werking trad, sprak Facebook van toestemming van een gebruiker. Facebook zegt sinds de invoering van de GDPR echter een contract te hebben met gebruikers, voor het tonen van gepersonaliseerde advertenties.

Facebook wil hiermee Europese wetgeving omzeilen, schrijft privacyplatform None of Your Business, ofwel noyb. Voor een contract zijn er andere eisen dan voor toestemming; in het geval van een contract hoeft toestemming niet ‘vrijelijk gegeven’ te zijn, of hoeft er ook geen sprake te zijn van ‘geïnformeerde toestemming’. Dit in tegenstelling tot toestemming, waarbij deze twee eisen wel van kracht zijn. Daarom zou Facebook zeggen dat er sprake is van een contract in plaats van toestemming. Noyb schrijft van een ‘herinterpretatie’ van de GDPR.

Noyb, opgericht door activist Max Schrems, stapte daarom naar de Oostenrijkse rechter. Het gerechtshof vraagt nu om opheldering bij het Europese Hof van Justitie. Een centrale vraag is volgens het Oostenrijkse hof of Facebook inderdaad het verwerken van de gebruikersdata kan zien als een contract en daarmee de betere bescherming die gebruikers hebben als ze zelf toestemming zouden geven kan ‘ondermijnen’.

Het Oostenrijkse hof vraagt verder aan het EU-hof of Facebook volgens de GDPR wel aan genoeg dataminimalisatie doet en of Facebook wel gevoelige data zoals seksuele voorkeur en politieke voorkeur voor gepersonaliseerde reclame mag gebruiken. Met dataminimalisatie doelt het Oostenrijkse hof erop of Facebook wel alle data van Facebook.com en andere websites mag inzetten voor reclamedoeleinden. Facebook biedt bijvoorbeeld aan externe websites aan om Like-knoppen te verwerken in artikelen; deze data kan Facebook gebruiken voor reclamedoeleinden. Het hof vraagt nu of dat juridisch gezien mag.

Facebook moet in een losse zaak daarnaast vijfhonderd euro compensatie betalen aan Schrems. De activist vroeg het platform om zijn gebruikersdata, maar Facebook gaf hier geen volledige toegang toe. Volgens het hof kreeg Schrems nooit alle ruwe data, werd hem de wettelijke basis waarmee zijn data werd verwerkt niet verteld en weigerde Facebook antwoord te geven op vragen van Schrems. De boete van vijfhonderd euro ligt in lijn met een eerdere uitspraak waartegen Schrems in hoger beroep ging.

Lees hier verder. © Tweakers.net

De Autoriteit Persoonsgegevens heeft een boete van 750.000 euro opgelegd aan TikTok. De app heeft de privacy van Nederlandse gebruikers geschonden door de privacyverklaring alleen in het Engels aan te bieden.

Het gaat om een boete voor de Amerikaanse TikTok-tak, die weer onderdeel is van het Chinese moederbedrijf ByteDance. Volgens de Autoriteit Persoonsgegevens schendt de app de AVG in ieder geval sinds de inwerkingtreding van de wet. “De AP stelt vast dat TikTok Inc. haar privacybeleid aan Nederlandse gebruikers heeft verstrekt in uitsluitend de Engelse taal”, schrijft de privacytoezichthouder in het boetebesluit.

De privacytoezichthouder begon in mei vorig jaar een onderzoek naar TikTok. De AP wilde weten welke persoonsgegevens de app verzamelt en verwerkt. In het boetebesluit beschrijft de AP dan ook verschillende conclusies over dataverzameling, maar die lijkt in lijn te zijn met de privacywet. Het was destijds niet bekend of de AP naar een specifieke overtreding zocht.

TikTok is niet transparant over het verzamelen van gebruikersdata, zegt de AP. Dat heeft te maken met hoe ‘transparantie’ moet worden gedefinieerd. In de AVG staat dat verwerkingen in ‘begrijpelijke vorm’ en in ‘duidelijke en eenvoudige taal’ moeten worden uitgelegd aan gebruikers. De AP wijst erop dat ‘een substantieel deel’ van de Nederlandse gebruikers jonger is dan zestien jaar. “Deze jonge doelgroep brengt een extra verantwoordelijkheid mee waar het gaat om het gebruik van duidelijke en eenvoudige taal in alle communicatie”, schrijft de toezichthouder. TikTok had kunnen weten dat die jonge gebruikers Engels niet goed genoeg zouden snappen om te begrijpen waarmee ze precies akkoord gingen. Daarmee overtreedt de app artikel 12 van de AVG. Dat is de enige grond waarop TikTok de boete krijgt.

De boete valt binnen de derde categorie van de AP’s boetebeleidsregels. 750.000 euro is daarbij de maximale boete. De toezichthouder keek bij het vaststellen van de boete met name naar het feit dat kinderen werden getroffen, die de AP een ‘kwetsbare groep personen’ noemt. “Dit maakt de overtreding extra ernstig”, aldus de toezichthouder. Ook de duur van de overtreding, namelijk sinds 25 mei 2018 tot nu, maakt de overtreding ‘aanzienlijk’.

De AP vroeg in oktober 2020 commentaar bij het bedrijf. TikTok ontkende de beschuldigingen niet, maar concludeerde dat de AP niet bevoegd was om op te treden tegen het bedrijf omdat het Europese kantoor in Ierland is gevestigd. Het bedrijf wijst er ook op dat verschillende functies zijn aangepast of verwijderd voor gebruikers onder de zestien jaar. Zo worden dergelijke accounts sinds januari 2021 standaard op privé gezet en zijn functies zoals Duet en Stitch niet meer voor hen beschikbaar. Pas vanaf 29 juli van dit jaar wordt het privacybeleid ook in het Nederlands aangeboden.

Het bedrag van 750.000 euro is de op een na hoogste boete die de AP tot nu toe in Nederland uitdeelde. De tot nu toe hoogste boete was voor het Bureau Krediet Registratie, dat 830.000 euro moest betalen voor het vragen van geld voor inzage in dossiers.

Lees hier verder. © Tweakers.net