Beslissingen van de GBA, een overzicht (Mr. Franklin)

Auteur: Mr. Franklin

Berisping ondanks inbreuk bij beantwoorden van een vraag tot wissen

(Beslissing 01/2022 van 3 januari 2022)

Feiten:

​Wanneer een persoon na een vraag tot wissen van zijn gegevens nog steeds e-mails met vacatures ontvangt van een uitzendkantoor beslist hij om klacht in te dienen bij de GBA. Daarenboven had het uitzendkantoor eveneens een account aangemaakt op hun nieuwe online platform voor deze persoon.

De GBA beslist dat naar aanleiding van een solicitatie de onderneming de contactgegevens van de werkzoekende kan opnemen op een contactlijst en deze persoon mag contacteren met toekomstige vacatures.

Geen gevolg geven aan een verzoek tot wissen van gegevens

​Ondanks meerdere verzoeken en een uitdrukkelijke bevestiging dat de gegevens gewist waren, bleef de klager e-mails ontvangen van het uitzendkantoor.

​Het uitzendkantoor ontkent de fout niet maar stelt dat de interne procedure omtrent het wissen van gegevens niet werd nagekomen door een menselijke fout. Doordat het een eenmalig feit lijkt te zijn, het uitzendkantoor zich reeds verontschuldigd heeft bij de klager en bevestigd heeft dat de gegevens thans gewist zijn, beperkt de GBA zich tot het uitspreken van een berisping.

​Mag een account aangemaakt worden voor bestaande klanten op een nieuw online platform? 

​Wat de aanmaak van een account op naam van de klager betreft, stelt de arbeidsbemiddelaar dat zij sinds 2020 werkt met een door de kandidaten zelf te bedienen sollicitatieportaal. Voor de toen reeds ingeschreven kandidaten zoals de klager werd hiervoor automatisch een account aangemaakt en geactiveerd, waarover zij geïnformeerd werden via e-mail. Voor deze verwerking beroept de arbeidsbemiddelaar zich op de uitvoering van de overeenkomst met de werkzoekenden, net zoals voor het versturen van de vacaturemails. De Geschillenkamer stelt hierbij vast dat de arbeidsbemiddelaar geen bewijs kan voorleggen van het bezorgen van de nodige informatie via e-mail voorafgaand aan de aanmaak van het account, maar stelt vast dat de portaalsite een dienst is die de klager in een moderne online omgeving had moeten verwachten, in het bijzonder gelet op de beschikbare privacyverklaring op het moment van zijn (online) inschrijving voor de diensten van de arbeidsbemiddelaar in april 2019.

De Geschillenkamer stipt ook aan dat de klager geen bewijs inbrengt van zijn eerste (mondelinge) verzoek tot gegevenswissing, hoewel de privacyverklaring uitdrukkelijk verwijst naar het online portaal en twee functionele e-mailadressen voor de uitoefening van AVG-rechten. Onder deze omstandigheden stelt de Geschillenkamer vast dat de persoonsgegevens van de klager vóór diens schriftelijke verzoek tot gegevenswissing werden overgebracht naar de nieuwe portaalsite van de arbeidsbemiddelaar in het kader van haar dienstverlening, waarover de klager werd geïnformeerd bij zijn inschrijving. Het schriftelijke verzoek tot gegevenswissing kwam er immers pas als antwoord op de melding via e-mail aan de klager dat voor hem een account was aangemaakt op de portaalsite in maart 2020. De Geschillenkamer seponeert de klacht voor wat betreft de mogelijke schending van het rechtmatigheids- en transparantiebeginsel voor de verwerking die bestaat uit de aanmaak van het account.

​Conclusie

​Deze beslissing toont opnieuw aan dat bij het bepalen van een sanctie na het vaststellen van inbreuken tegen de GDPR, de GBA er een groot belang aan hecht dat een onderneming kan aantonen dat zij schriftelijke interne procedures had geimplementeerd rond GDPR. De inbreuken werden enkel bestraft met een berisping.

​Het belang van correcte informatie bij cookies

(Beslissing 11/2022 van 21 januari 2022)

​De Geschillenkamer van de GBA heeft zich op 21 januari 2022 in een grensoverschrijdende zaak opnieuw uitgesproken over de vereisten rond het gebruik van cookies. De procedure werd opgestart naar aanleiding van een klacht die in 2018 werd ingediend bij de Berlijnse toezichthouder (Berliner Beauftragte für Datenschutz und Informationsfreiheit). De Geschillenkamer verzocht na ontvangst van de klacht via haar Duitse collega om verder onderzoek door de Inspectiedienst, waarna de procedure ten gronde kon aanvangen op 29 april 2020.

​Voorwerp klacht

De klager uit in de klacht zijn ontevredenheid over het gebrekkig functioneren van de advertentievoorkeurenpagina op de website ‘YourOnlineChoices’ van de European Interactive Digital Advertising Alliance (EDAA). Deze website laat aan internetgebruikers toe om hun advertentievoorkeuren te beheren ten aanzien van de deelnemende bedrijven (waaronder bv. ook Google, Amazon en Facebook). Meer bepaald kan de gebruiker via een specifieke pagina op voornoemde website zijn of haar advertentievoorkeuren centraal beheren door voor specifieke of alle aangesloten bedrijven ‘interest based advertising’ in of uit te schakelen. Deze keuze heeft dan uitwerking voor verdere surfsessies via dezelfde browser.

​De klager haalt echter aan dat de opt-out functie niet zou werken voor vele deelnemende bedrijven die toelaten om advertentievoorkeuren te beheren via de website van EDAA (bij het selecteren van de ‘uit’-optie, zou de ‘aan’-optie automatisch gereset worden). De toestemming is volgens de klager daarom niet vrij in de zin van de AVG en zou niet tegemoetkomen aan de vereisten voor het intrekken van de toestemming. De website YourOnlineChoices zou bovendien vereisen van bezoekers dat zij cookies aanvaarden alvorens hun advertentievoorkeuren te kunnen selecteren. Hierbij doet de klager zijn beklag over een specifieke cookie die EDAA informeert of de browser van de gebruiker al dan niet aanvaardt dat third-party cookies geplaatst worden.

​Toestemmingsvereiste cookies en informatieverplichting

Uit de klacht, het voorafgaande onderzoek en de verklaringen van EDAA zelf bleek dat de omstreden cookie “third_party_c_t” (inmiddels niet langer in gebruik) bij een bezoek aan de homepage van YourOnlineChoices onmiddellijk geplaatst werd voordat de vereiste informatie ingevolge artikel 13 AVG was verleend middels de cookiebanner. De functie van deze cookie bestaat uit het nagaan of de browser van de bezoeker het gebruik van third-party cookies aanvaardt. EDAA tracht het onmiddellijk plaatsen van deze cookie zonder voorafgaande informatie te verantwoorden onder de volgende argumentatie: dat de cookie om technische redenen werd geplaatst voor het verschijnen van de informatiebanner, dat de bezoeker eerst een taalkeuze moest maken om de informatie vervolgens in de gekozen taal te kunnen ontvangen, en dat de privacy-impact op de betrokkenen voor de betrokken essentiële cookie laag was.

​De Geschillenkamer veegt deze argumenten echter kordaat van tafel. Ten eerste verduidelijkt zij dat de voorafgaande informatieverplichting van toepassing is op alle types cookies (inclusief strikt noodzakelijke cookies), ongeacht hun impact op de rechten van betrokkenen met betrekking tot de bescherming van hun persoonsgegevens. Zij stelt dat wanneer de bezoeker nog geen taalkeuze heeft gemaakt, het in casu passend is om in eerste instantie een melding over het gebruik van cookies weer te geven in het Engels als taal die gebruikelijk is op het internet, tot de betrokkene diens eigenlijke taal selecteert.  Algemeen wijst de Geschillenkamer erop dat de onder de AVG vereiste informatie dient geschreven te zijn in een taal die makkelijk te begrijpen is voor het doelpubliek voor wie een website bestemd is.

​De Geschillenkamer stelt een verdere inbreuk op de informatieverplichting vast aangezien de cookiebanner op de website geen rechtstreekse link bevatte naar de vereiste informatie over het gebruik van cookies, maar in de plaats daarvan algemeen verwees naar de privacyverklaring van de organisatie. Aangezien dit ondertussen werd rechtgezet, acht de Geschillenkamer deze inbreuk niet langer relevant. De Geschillenkamer verwijst hierbij nog naar volgende recente richtlijnen omtrent cookiegebruik van de CNIL waarmee zij aangeeft akkoord te zijn, zodat het aanbevolen is om deze elementen als websitebeheerder zoveel mogelijk op te nemen als eerste informatielaag in de cookiebanner:

“Het plaatsen van een link naar de algemene gebruiksvoorwaarden is niet voldoende.

Op zijn minst moet de volgende informatie vooraf aan gebruikers worden verleend om ervoor te zorgen dat hun toestemming geïnformeerd is:

• de identiteit van de verantwoordelijke(n) voor gegevensverwerking via cookies;
• het doel van de gegevensverwerking via cookies;
• hoe de cookies te aanvaarden of te weigeren;
• de gevolgen van het weigeren of aanvaarden van cookies;
• het bestaan van het recht om toestemming in te trekken.

​De privacyverklaring van EDAA bevatte daarnaast geen uitdrukkelijke vermelding van het recht van betrokkenen om hun toestemming terug in te trekken, maar informeerde hen enkel over de mogelijkheid om cookies te verwijderen. Dit werd aangepast door EDAA, zodat geen inbreuk weerhouden werd. Een uitdrukkelijke vermelding naar de betrokkenen toe van het recht om de toestemming in te trekken is dus aangewezen, zowel voor het gebruik van cookies als omtrent de verwerking van persoonsgegevens in het algemeen.

​Onvolledigheid verwerkingsregister

​De Geschillenkamer bekeek ook het verwerkingsregister van EDAA, waaruit blijkt dat EDAA beroep doet op diverse Amerikaanse verwerkers die clouddiensten verlenen. De derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden waren hierbij evenwel niet uitdrukkelijk opgenomen in het verwerkingsregister zelf. Enkel een kruisverwijzing naar de relevante overeenkomsten met deze verwerkers was terug te vinden in het register, onder de argumentatie dat dit toelaat om te allen tijde te verwijzen naar volledige en up-to-date informatie die immers kan afhangen van de gebruikte servers en specifieke diensten afgenomen van de verwerkers. De Geschillenkamer acht dit onvoldoende en beveelt sterk aan dat de derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden, eenvoudig te identificeren zijn in het verwerkingsregister zelf. De organisatie krijgt dan ook het bevel opgelegd tot aanvulling van haar verwerkingsregister. Opmerkelijk is dat de Geschillenkamer ondanks haar verwijzing naar de Schrems II-rechtspraak, verder niet ingaat op de rechtmatigheid onder de AVG van deze doorgiftes van persoonsgegevens naar de VS en eventuele andere derde landen.

​Klacht: niet-functioneren advertentievoorkeuren en verplicht gebruik cookies

​De Geschillenkamer stelt vast dat de tool om advertentievoorkeuren te selecteren op de website YourOnlineChoices niet naar behoren functioneerde bij de klager omdat hij ad blocking software gebruikte. Zowel op de advertentievoorkeurenpagina zelf als in de algemene gebruiksvoorwaarden van EDAA wordt hierover vermeld dat dit als gevolg kan hebben dat de advertentievoorkeurentool niet naar behoren werkt. In het inspectieverslag werd omtrent de test die plaatsvond van de tool ook niet aangevoerd dat deze niet naar behoren zou werken.

​In lijn met de visie van de EDPB, spreekt de GBA zich dus uitdrukkelijk uit tegen zogenaamde “cookie walls”. De toegang tot een applicatie, website of andere diensten of voordelen mag dan ook niet worden ontzegd omdat een gebruiker weigert om in te stemmen met het gebruik van cookies die niet strikt noodzakelijk zijn.

​Tot slot herhaalt de Geschillenkamer nog dat een “alles of niets”-keuze met betrekking tot cookies geen geldige toestemming kan uitmaken, en dat een specifiekere keuze mogelijk moet zijn (minstens per type cookies, en eventueel in een tweede laag ook per cookie individueel).

​Beslissing

​De Geschillenkamer beperkt zich voor de vastgestelde inbreuken tot het opleggen aan EDAA van een bevel tot aanvulling van het verwerkingsregister en het uitspreken van een berisping voor de inbreuken op de transparantieverplichting in het kader van het gebruik van cookies.

​Een database met Twitterberichten mag niet zomaar gedeeld worden

(Beslissing 13/2022 van 27 januari 2022)

​In een tweede grensoverschrijdende zaak heeft de Geschillenkamer van de GBA een boete opgelegd aan EU DisinfoLab, een ngo die strijd voert tegen desinformatie (2.700 EUR), en aan één van haar onderzoekers (1.200 EUR) wegens inbreuken op de GDPR die gepleegd zijn in het kader van een onderzoek naar de politieke oorsprong van tweets afkomstig van 55.000 Twitter-accounts in verband met de Franse “Benalla-affaire”. De sancties hebben enerzijds betrekking op de politieke profilering van de auteurs van de geanalyseerde tweets en anderzijds op de publicatie van verschillende bestanden die de ruwe en soms gevoelige gegevens van het onderzoek bevatten.

​De procedure kwam op gang naar aanleiding van meer dan 200 klachten die werden ingediend bij de GBA en de Franse CNIL naar aanleiding van een analyse gepubliceerd door de ngo met het oog op de vaststelling van de politieke oorsprong van tweets die circuleren over de “Benalla-affaire”. Alexandre Benalla is de voormalige lijfwacht van Franse president Emmanuel Macron, en kwam in opspraak nadat hij zich onder meer op onrechtmatige wijze had uitgegeven als politieagent tijdens de 1 mei-betoging van de arbeidersbewegingen in Parijs in 2018.

​Aangezien de ngo die het omstreden onderzoek heeft gevoerd in België is gevestigd, treedt de GBA op als leidende toezichthoudende autoriteit en de CNIL als “betrokken” toezichthoudende autoriteit. De omstreden verwerkingen betreffen concreet het hergebruik van persoonsgegevens van 55.000 Twitter-gebruikers om de studie uit te voeren (waarbij meer dan 3.300 accounts politiek waren geclassificeerd), en anderzijds de online publicatie door de ngo en haar onderzoeker van bestanden met de ruwe (niet-geanonimiseerde) gegevens van de studie.

​De Geschillenkamer wijst erop dat het feit dat persoonsgegevens publiek beschikbaar zijn op sociale netwerken, niet betekent dat zij de bescherming onder de GDPR verliezen. De Geschillenkamer erkent evenwel dat de journalistieke uitzondering het voor de ngo mogelijk maakte om als verwerkingsverantwoordelijke werkzaam in de journalistieke sfeer, de studie uit te voeren om die te publiceren en deel te nemen aan het publiek debat over de Benalla-affaire, zonder vooraf individueel alle in artikel 14 van de GDPR bedoelde informatie te verstrekken aan de betrokkenen. De Geschillenkamer is namelijk van mening dat de ngo vrijgesteld was van haar verplichting om de accounteigenaars individueel en voorafgaand in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen.

​Echter heeft de Geschillenkamer wel problemen met de manier waarop bijhorende documenten ter staving van het onderzoek online gepubliceerd werden. Toen de integriteit van het onderzoek ter discussie werd gesteld, stelden de ngo en haar onderzoeker namelijk bestanden met ruwe gegevens online ter beschikking ter staving dat het onderzoek correct gevoerd was, zonder hierbij minimale beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de hierin opgenomen persoonsgegevens of het beperken van de toegang tot de bestanden. Concreet bevatten deze bestanden niet-geanonimiseerde informatie over de politieke voorkeur, religieuze overtuiging, ethnische afkomst en seksuele gerichtheid van de personen wiens Twitter-accounts geanalyseerd werden in het kader van het onderzoek. De Geschillenkamer stelt vast dat ondanks er geen sprake was van kwade bedoelingen, dergelijke publicatie het risico met zich meebrengt dat betrokkenen gediscrimineerd of in diskrediet zouden worden gebracht. De publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde gevoelige gegevens in deze context kan volgens de Geschillenkamer enkel plaatsvinden met de toestemming van de auteurs van de geanalyseerde tweets. Zonder toestemming dan wel doeltreffende anonimisatie of pseudonimisatie is dan ook sprake van een onevenredige schending van de rechten van de auteurs van de betrokken tweets waarvoor geen rechtsgrond kan voorliggen. De Geschillenkamer geeft nog mee dat een individuele afweging per betrokkene tussen het recht op journalistieke vrijheid van meningsuiting en het recht op gegevensbescherming niet mogelijk was gelet op het grote aantal betrokken Twitter-accounts (55.000).

​De Geschillenkamer stelt dan ook inbreuken vast op verschillende GDPR-verplichtingen, zoals de rechtmatigheid van de verwerking, het transparantiebeginsel en de beveiligingsverplichting. Dit leidt tot een boete voor de ngo van 2.700 EUR en voor de betrokken onderzoeker persoonlijk van 1.200 EUR. Daarnaast wordt een berisping uitgesproken. Bij het bepalen van de sancties heeft de Geschillenkamer rekening gehouden met het feit dat de verweerders respectievelijk een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon zijn.

Bron: Mr. Franklin