Privacy à la "take it or leave it"? De nieuwe algemene verordening inzake gegevensbescherming (GDPR) die vandaag om middernacht in werking is getreden, moet de gebruikers een vrije keuze bieden, of ze nu wel of niet instemmen met het gebruik van gegevens. Het tegenovergestelde gevoel verspreidt zich op de schermen van veel gebruikers: tonnen "toestemmingsboxen" duiken online of in toepassingen op, vaak in combinatie met het dreigement dat de dienst niet meer kan worden gebruikt als de gebruikers niet akkoord gaan. Op de eerste dag van GDPR heeft noyb.eu daarom vier klachten ingediend tegen Google (Android), Facebook, WhatsApp en Instagram over "gedwongen toestemming".
Originele Klachten, zoals ingediend:
- Google LLC (Android), gedeponeerd bij het Franse DPA (CNIL)
- Instagram (Facebook Ireland Ltd), ingediend bij de Belgische DPA (CPP)
- WhatsApp Ireland Ltd, ingediend bij het Hamburgse DPA (HmbBfDI)
- Facebook Ireland Ltd, ingediend bij het Oostenrijkse DPA (DSB)
Overzicht van de klachten. Zeer gelijkaardige klachten waren er op het terrein met vier autoriteiten, om de Europese coördinatie mogelijk te maken. Naast de vier autoriteiten in de woonplaats van de gebruikers zal de Ierse commissaris voor gegevensbescherming (link) waarschijnlijk ook bij de zaken worden betrokken, aangezien het hoofdkantoor van de betrokken bedrijven in drie gevallen in Ierland is gevestigd.
GDPR verbiedt "bundeling" De GDPR verbiedt dergelijke gedwongen toestemming en elke vorm van bundeling van een dienst met de toestemmingsvereiste (zie artikel 7, lid 4, GDPR). Bijgevolg kan de toegang tot diensten niet langer afhankelijk zijn van de vraag of een gebruiker toestemming geeft voor het gebruik van de gegevens. Over deze kwestie is al in november 2017 een zeer duidelijk richtsnoer van de Europese gegevensbeschermingsautoriteiten gepubliceerd (link).
Scheiding van noodzakelijk & onnodig dataverbruik. Een einde van "gedwongen toestemming" betekent niet dat bedrijven geen gebruik meer kunnen maken van klantgegevens. De GDPR staat expliciet elke gegevensverwerking toe die strikt noodzakelijk is voor de dienst - maar voor het gebruik van de gegevens als aanvulling voor reclame of om ze door te verkopen is de gratis opt-in toestemming van de gebruikers nodig. Met deze klacht willen we ervoor zorgen dat de GDPR op een verstandige manier wordt geïmplementeerd: Zonder alleen maar in de richting van "fishing for consent" te gaan.
Een einde maken aan vervelende pop-ups. Als de klachten van noyb.eu succesvol zijn, zal dit ook een zeer praktisch effect hebben: Vervelende en opdringerige pop-ups die gebruikt worden om de toestemming van een gebruiker te claimen, zouden in veel gevallen tot het verleden moeten behoren.
Belangrijk voor KMO's. De strijd tegen gedwongen toestemming is ook belangrijk voor kleine en lokale bedrijven, die hun klanten meestal niet kunnen dwingen om in te stemmen met beleid - anders dan grote onlinemonopolies.
Miljardenstraffen, maar zal het BBPR wel zijn tanden laten zien? Deze eerste klachten zullen ook een cruciale toets van de wet zijn: met een boete van 4 procent van de wereldwijde inkomsten zou Google of Facebook meer dan een miljard euro moeten betalen voor het overtreden van de wet. Op dit moment verwachten we niet dat DPA's de volledige strafbevoegdheid zullen gebruiken, maar we zouden een redelijke boete verwachten, gezien de overduidelijke overtreding.
noyb.eu krijgt privacy op uw telefoon. Artikel 80 van de GDPR bepaalt dat de betrokkenen (in dit geval gebruikers uit Frankrijk, België, Oostenrijk en Duitsland) zich kunnen laten vertegenwoordigen door een vereniging zonder winstoogmerk, aangezien individuele gebruikers meestal niet in staat zijn om de relevante juridische klachten in te dienen. In dit geval worden alle vier de gebruikers vertegenwoordigd door de non-profit noyb.eu.
Volgende onderwerpen voor noyb.eu De klachten over "gedwongen toestemming" zijn de eerste actie van de nieuw opgerichte organisatie noyb.eu. Het Center for Digital Rights is al bezig met het plannen van verdere klachten over het illegale gebruik van gebruikersgegevens voor reclamedoeleinden of "fictieve toestemming".