Newsletter

Data Protection - April 2021

New 🇪🇺 AI legislation proposed and courts confirm data protection fines 🇪🇸🇩🇪🇳🇱. Supervisory Authorities act against 🇺🇸 tech companies LinkedIn, Facebook and Whatsapp.

Niels Westerlaken

May 2, 2021 • 17 min read

🇪🇺 European developments

EC 🇪🇺 publishes proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

The draft regulation defines 44 terms in AI and covers placing AI on the market, putting it into service, using AI systems in the Union, prohibitions of certain AI systems, requirements for high-risk AI systems, transparency rules for AI intended to interact with people and rules on market monitoring and surveillance. Suggested fines are of up to 6% of annual global turnover.

Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) | Shaping Europe’s digital future

Shaping Europe’s digital future logo

[P]ossible future divergence might create risks for the maintenance of the level of protection provided to personal data transferred from the EU. Therefore, the European Commission is invited to closely monitor such evolutions from the entry into force of its adequacy decision and take necessary actions including by amending and/or suspending the decision if necessary.

Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom | European Data Protection Board

European Data Protection Board

These guidelines focus on the roles and responsibilities of advertisers and of social media providers. In doing so, the guidelines address, among other things, the privacy risks for users of social media and the key requirements of privacy law, such as the legal basis for processing.

Case law

The Hague court 🇳🇱 reduces penalty payment for Dutch hospital from EUR 460k to 350k

The court holds that the efforts made by the hospital to improve its security practices should have been taken into account by the AP.

Italian Council of State 🇮🇹 found that Facebook failed to provide its users with transparent information

The Council concluded Facebook failed to inform on the commercial exploitation of data subjects' personal data. At the same time, it also found that the opt-out approach used for registering users to the platform did not constitute an aggressive conduct.

Belgian Constitutional Court 🇧🇪 annuls Data Retention Framework for Electronic Communications

Spanish National High Court 🇪🇸 confirmed a fine of EUR 25k for breaching the principle of accuracy

[T]wo customers had the same name, what caused a failure when verifying customer details, what caused Canary Islands Cars, a rental car company, to incorrectly use the information of customer A to create a car rental contract for customer B, who then committed a traffic offence. Subsequently, the details of customer A were incorrectly passed on to the Directorate General for Traffic (DGT).

District Court of Amsterdam 🇳🇱 issued a default judgment ordering Uber to reinstate six drivers that were dismissed solely on the basis of automated processing

The judgment required Uber to pay a penalty of EUR 5,000 for every day it does not comply with the order, as well as EUR 100,474 in damages.

Regional court Baden-Württemberg 🇩🇪 held that a data subject was not entitled to solely future damages

The mere anticipation of future data misuse could not be considered damage, under Article 82 GDPR. Furthermore, there should be a causal link between the violation of the GDPR and any damage suffered.

Supervisory Authorities

Comissão Nacional de Proteção de Dados 🇵🇹 orders suspension of U.S. data transfers

The Portuguese SA issued a resolution addressed to the National Statistics Institute to suspend within 12 hours any international transfer of personal data to the US or other 3rd countries without adequate level of protection. The transfer was based on SCCs with the US-based company, Cloudflare Inc.

DPC 🇮🇪 launches inquiry into Facebook for breach of "scraped" dataset

The AP 🇳🇱 fines the municipality of Enschede EUR 600k for unlawfully using WiFi tracking in the city center

The tracking made it possible to follow shoppers and people who live or work in the city center.

Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen WhatsApp-Nutzungsbedingungen eröffnet

Das offizielle Informations- und Serviceangebot des Hamburger Beauftragten für Datenschutz und Informationsfreiheit

HmbBfDIHmbBfDI

Regulators 🇱🇺 🇨🇭 🇮🇹 announced investigations scraping and sale of personal data from LinkedIn

Informacijski pooblaščenec 🇸🇮 stated that the director (CEO) or member of the management of the company shall not be a DPO

Datatilsynet 🇳🇴 fined energy company EUR 15,000 for live-streaming a camera feed to Youtube

The camera captured a public road, a parking space, various shops, and buildings such as the city hall without a sufficient legal basis from Article 6(1)(f) GDPR, relating to Article 5(1)(a) GDPR.

Technology

EDPB 🇪🇺 publishes Website Evidence Collector (WEC) for automating website evidence collection of storage and transfer of personal data

Academics

In March 2021, the Amsterdam District Court decided in two cases regarding Uber (‘Uber employment’ and ‘Uber deactivation’ cases), and one case regarding Ola(see also the unofficial English translations of the judgments). Ola offers a service that’s comparable to Uber. Both companies offer an app that links (taxi) drivers to passengers.

In the Ola judgment, the Court requires the Ola company to explain the logic behind a fully automated decision in the sense of article 22 of the General Data Protection regulation (GDPR). This is the first time that a court in the Netherlands recognises such a right. To the best of our knowledge, it is also the first time that a Court anywhere in Europe recognises such a right.

Article: International Surveillance, Underwater Cables and EU-US Adequacy Negotiations

Article: A New Order: The Digital Services Act and Consumer Protection

Paper: Discrimination for the Sake of Fairness: Fairness by Design and Its Legal Framework

As algorithms are increasingly enlisted to make critical determinations about human actors, the more frequently we see these algorithms appear in sensational headlines crying foul on discrimination. There is broad consensus among computer scientists working on this issue that such discrimination can only be avoided by intentionally collecting and consciously using sensitive information about demographic features like sex, gender, race, religion etc. Companies implementing such algorithms might, however, be wary of allowing algorithms access to such data as they fear legal repercussions, as the promoted standard has been to omit protected attributes, otherwise dubbed “fairness through unawareness”. This paper asks whether such wariness is justified in light of EU data protection and anti-discrimination laws.

Discrimination for the Sake of Fairness: Fairness by Design and Its Legal Framework by Holly Hoch, Corinna Hertweck, Michele Loi, Aurelia Tamò :: SSRN

As algorithms are increasingly enlisted to make critical determinations about human actors, the more frequently we see these algorithms appear in sensational he

See all articles by Holly Hoch

Article: Adtech and Real-Time Bidding under European Data Protection Law

This paper analyses the extent to which practices of RTB are compatible with the requirements regarding (i) a legal basis for processing, transparency, and security in European data protection law.

Framework: Data Ethics Decision Aid (DEDA): a dialogical framework for ethical inquiry of AI and data projects in the Netherlands

Article: Confronting Data Inequality

Confronting Data Inequality by Angelina Fisher, Thomas Streinz :: SSRN

Data conveys significant social, economic, and political power. Unequal control over data — a pervasive form of digital inequality — is a problem for economic d

See all articles by Angelina Fisher

Article: I am Definitely Manipulated, Even When I am Aware of it. It s Ridiculous! -- Dark Patterns from the End-User Perspective

Academic 'Privacy Studies Journal' has been launched

Media

How Facebook let fake engagement distort global politics: a whistleblower's account

Palantir gets a foothold in Europe

‘This was not a breach’: How Big Tech gaslights the world on data leaks

Big Tech’s guide to talking about AI ethics

50-ish words you can use to show that you care without incriminating yourself.

Six new European fundamental rights

There are huge gaps in the European constitutions: environmental destruction, digitalisation, the power of algorithms, systematic lying in politics, unchecked globalisation and threats to the rule of law – none of these are adequately addressed. We want to change that. With six new fundamental rights for Europe.

🇳🇱 Nederlandse ontwikkelingen

'Ongezien onrecht' in het vreemdelingenrecht

Dat onrecht komt voort uit vergelijkbare factoren als die speelden in de toeslagenaffaire zoals rigide wetgeving zonder hardheidsclausules, geïnstitutionaliseerd wantrouwen ten aanzien van een kwetsbare groep, een bestuur dat te weinig oog heeft voor de menselijke maat en constant de politieke boodschap hoort dat het beleid restrictief moet zijn en tot slot een rechterlijke macht die het bestuur de hand boven het hoofd houdt.

Ongezien onrecht in het vreemdelingenrecht - OpenRecht

OpenRechtCarolus Grütters

AP publiceert OR-privacyboekje over rol van de ondernemingsraadbij privacy op de werkvloer

Personeelsdossiers. Registratie van ziekteverzuim. Camera’s op de werkplek. Screening van personeel. Werkgevers verwerken veel persoonsgegevens van hun werknemers. En sommige van dieverwerkingen kunnen heel ingrijpend zijn. Het is daarom uiterst belangrijk dat werkgevers rekening houden met de privacy van hun werknemers. En dat hierover wordt gesproken binnen de organisatie. Daarbij spelen ondernemingsraden een cruciale rol.De ondernemingsraad (OR) is nauw betrokken bij afspraken over de verwerking van persoonsgegevensvan personeelen bij personeelsvolgsystemen.

Jurisprudentie

Rechtbank Amsterdam: AP is niet bevoegd voor voorafgaande raadpleging (art. 55 AVG) naar Spaans recht van Booking.com

Autoriteit Persoonsgegevens stelt zich op het standpunt dat niet zij, maar de Spaanse toezichthouder bevoegd is om het verzoek om een voorafgaande raadpleging in behandeling te nemen.

6.3 Eiseres wordt niet gevolgd in haar betoog dat uit de UAVG – bij afwezigheid van een Nederlandse wet in formele zin – voor eiseres een verbod voortvloeit om de op grond van de Spaanse belastingwetgeving gevraagde nationale identificatienummers te verzamelen. De AVG is een Europese verordening, die rechtstreekse doorwerking heeft in de nationale rechtsorde van alle lidstaten van de Europese Unie (EU). De AVG dient daarom autonoom te worden uitgelegd, met het oog op uniforme toepassing daarvan in de gehele EU. Het toetsingskader is de AVG en niet de UAVG zoals eiseres stelt. De vrees van eiseres dat een voorafgaande raadpleging door de Spaanse toezichthouder een uitkomst kan hebben die strijdt met de UAVG, is reeds daarom ongegrond.

Rechtbank Amsterdam: Afweging van kredietrisico en BKR-registratie gevolgen

De rechtbank wijst het verzoek tot verwijdering BKR-registratie van verzoeker toe, omdat Funding Circle er onvoldoende in is geslaagd om een zwaarwegend belang aan te tonen voor het in stand houden van de registratie.

Rechtbank Limburg: Misbruik van recht door geen ander doel dan procedures entameren om dwangsommen te incasseren

Eiser heeft beroepen ingesteld tegen het niet tijdig nemen van beslissingen op zijn AVG-inzageverzoeken bij de gemeenten Roerdalen, Valkenburg aan de Geul, Vaals en Brunssum.

De rechtbank is van oordeel dat sprake is van misbruik van recht, omdat haar is gebleken dat eiser zijn inzageverzoeken niet heeft ingediend met het doel te weten te komen of persoonsgegevens van hem worden verwerkt en in geval dat zo is inzage in de persoonsgegevens die van hem worden verwerkt, maar kennelijk met geen ander doel dan procedures entameren om daarmee dwangsommen te kunnen incasseren. De rechtbank heeft deze beroepen en de van rechtswege ontstane beroepen tegen de beslissingen tot buitenbehandelingstelling dan wel afwijzing van de inzageverzoeken niet-ontvankelijk verklaard.

Gerechtshof Arnhem-Leeuwarden: Belang van zwarte lijst is niet gerechtvaardigd door het blijven vermelden van de naam van appellant op websites en link naar de uitspraken van het CTG uit 2010

Appellant is werkzaam geweest als gezondheidszorgpsycholoog en wenst dat zijn gegevens weggehaald worden van de websites van Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (Stichting SIN), onder meer van de zwartelijstartsen. Anders dan de rechtbank wijst het hof de vordering toe.

Rechtbank Den Haag: Verweerder moet een kopie van een identiteitsbewijs betrekken bij de identifcatie van eiser. Verweerder heeft terecht getwijfeld aan het kopie van het identiteitsbewijs.

Overheid

Advies van de AP over het concept voor een wetsvoorstel Tijdelijke wet testbewijzen covid

Het wetsvoorstel beoogt beperkt te zijn tot verplicht gebruik van testbewijzen in een aantal specifieke sectoren. Over het voeren van onverplicht toegangsbeleid op grond van toestemming in andere sectoren wordt dan ook niets geregeld. In de praktijk zal aan het voeren van onverplicht toelatingsbeleid wel veel behoefte bestaan die feitelijk ook zal worden gefaciliteerd door terbeschikkingstelling van applicaties.

Toestemming zal in deze context echter vaak problematisch zijn, zodat het risico op het faciliteren van onrechtmatige verwerkingen reëel is. Dat geldt des te sterker voor de beoogde toestemming van medewerkers. De AP adviseert dit in de toelichting en bij terbeschikkingstelling van de applicaties zorgvuldig en nadrukkelijk uiteen te zetten. Daarnaast geeft de AP in overweging bij onverplicht toelatingsbeleid gebruik van de veilige en datarninimale infrastructuur die beschikbaar is ook te verplichten. Onverplicht toelatingsbeleid in essentiële sectoren moet tenslotte zo goed mogelijk worden uitgesloten. Daarnaast maakt de AP onder andere opmerkingen over gelijkstelling met het vaccinatiebewijs, de identificerende gegevens en de bewaartermijn.

Naleving & toezicht

Gegevensbescherming tegenover Informatiebeveiliging

Gegevensbescherming gaat vooral over het beschermen van gegevens over mensen. Onze rechten en vrijheden zijn vastgelegd in verdragen en in de Grondwet. Vooral het Europese Verdrag voor de Rechten van de Mens is een belangrijk uitgangspunt. Als een organisatie jouw gegevens verwerkt, moeten ze rekening houden met de gevolgen die dat voor jou kan hebben. Informatiebeveiliging gaat fundamenteel over iets heel anders, namelijk het beschermen van de gegevens die een organisatie gebruikt, om de continuïteit of de concurrentiepositie van die organisatie te beschermen.