Wat kunnen we hiervan leren?
De Autoriteit Persoonsgegevens (hierna: AP) heeft de onder kinderen populaire videoapp TikTok een boete opgelegd van €750.000. Het bedrijf had de privacyverklaring enkel in het Engels beschikbaar gesteld aan Nederlandse gebruikers, voor een periode van ruim twee jaar. Hiermee voldeed TikTok niet aan haar informatieplicht en handelde in strijd met de AVG. In dit artikel gaan we in op het belang van de informatieplicht.
De AP draagt onderzoek over aan Ierland
In mei 2020 startte de AP een onderzoek naar TikTok wegens privacyzorgen. Er werd met name onderzocht of de privacy van Nederlandse kinderen die gebruik maakten van de app voldoende werd gewaarborgd. Kinderen worden in de AVG beschouwd als een kwetsbare groep. Zij zijn zich minder bewust van de gevolgen van hun handelen op lange termijn, met name wanneer het gaat om gegevens op social media. Denk bijvoorbeeld aan prinses Alexia. Zij plaatste vorig jaar een TikTok-filmpje waarin ze de tekst van een liedje playbackte. Het filmpje kwam in opspraak omdat de tekst racistisch en seksistisch taalgebruik bevat.
Door de AP is onderzocht of TikTok voldeed aan de vereisten van de AVG en privacy by design is ingericht. Dit houdt in dat systemen van te voren al zo privacyvriendelijk mogelijk ingericht zijn. Daarbij moeten passende technische en organisatorische maatregelen worden genomen om de gegevensbeschermingsbeginselen uit artikel 5 van de AVG te waarborgen. Een voorbeeld daarvan is om niet meer persoonsgegevens te verwerken dan strikt noodzakelijk (minimale gegevensverwerking) en daarover transparant te zijn.
Daarnaast heeft de AP ingezoomd op de rechtmatige grondslag (artikel 6 AVG), in dit geval: toestemming. Bij het aanbieden van een dienst aan kinderen onder de 16 jaar dienen de ouders toestemming te geven. De AP bekeek of TikTok om de toestemming van ouders vraagt bij de gegevensverwerking van kinderen onder de 16 jaar. Tot slot is bekeken of TikTok voldoet aan haar informatieplicht uit artikel 12 van de AVG. De informatie die kinderen krijgen bij de installatie van de app moet voor hen goed te begrijpen zijn. Het gaat dan om informatie over hoe TikTok persoonsgegevens verzamelt en verder gebruikt, bijvoorbeeld voor marketingdoelen.
Twee maanden nadat de AP het onderzoek had ingesteld richtte TikTok haar Europese hoofdvestiging op in Ierland. Vanaf dat moment was de AP niet langer bevoegd om het onderzoek verder uit te voeren. Toezicht op bedrijven zonder hoofdvestiging in Europa kan vanuit alle EU-lidstaten, dat blijkt uit de richtlijn voor het bepalen van de leidende toezichthoudende autoriteit.[1] Zo hadden – naast de AP – ook privacytoezichthouders uit onder andere Frankrijk en Denemarken onderzoek ingesteld naar TikTok. Zodra een bedrijf een Europese hoofdvestiging heeft, is enkel de toezichthouder van het land waar het hoofdkantoor is gevestigd bevoegd dit soort onderzoeken uit te voeren. Dit heeft te maken met het one-stop shop mechanisme, ook wel ‘één-loketmechanisme’. Dit houdt in dat organisaties die grensoverschrijdende gegevensverwerkingen[2] uitvoeren, onder het toezicht van één privacy toezichthouder vallen. Die wordt de ‘leidende toezichthouder’ genoemd. Om te bepalen wie de leidende toezichthouder is, moet de hoofdvestiging worden bepaald. Volgens artikel 4 lid 16 van de AVG is dat – bij een organisatie die vestigingen heeft in meer dan één lidstaat – de plaats waar de centrale administratie plaatsvindt. De AP heeft dus het onderzoek overgedragen aan de toezichthouder in Ierland. Echter, alleen de nu nog vermoedelijke lopende schendingen zijn overgedragen. Doordat TikTok het schenden van de informatieplicht al had gestopt voordat zij haar Europese hoofdvestiging in Ierland oprichtte, kon de AP nog wel handhaven op deze schending.
Boete wegens gebrek aan informatie
Op basis van het onderzoek heeft de AP een boete opgelegd aan TikTok wegens schending van artikel 12 van de AVG, het recht op informatie. Het bedrijf stelde haar privacyverklaring van mei 2018 tot juli 2020 alleen beschikbaar in het Engels voor Nederlandse gebruikers, en dus ook Nederlandse kinderen. Daarmee voldeed TikTok niet aan de informatieplicht vanuit de AVG.
De informatieplicht houdt in dat betrokkenen juist en volledig geïnformeerd moeten worden over de verwerking van hun persoonsgegevens. De AVG zegt daarover dat de informatie op een beknopte, transparante, begrijpelijke en gemakkelijke toegankelijke vorm beschikbaar gesteld moet worden. Daarbij moet de informatie in een duidelijke en eenvoudige taal gepresenteerd worden, zeker wanneer de informatie voor een kind bestemd is. Een privacyverklaring in het Engels voldoet dus niet aan dit beginsel. Van kinderen kan niet verwacht worden dat zij een privacyverklaring in het Engels goed kunnen begrijpen.
TikTok heeft in Nederland 4,5 miljoen gebruikers. Daarvan is 28% tussen de 13 en 17 jaar oud, wat neer komt op ongeveer 1,3 miljoen Nederlandse kinderen. Voor een periode van ruim twee jaar heeft TikTok haar privacyverklaring niet goed toegankelijk gemaakt voor deze doelgroep. Sinds juli 2020 heeft TikTok haar privacyverklaring in het Nederlands beschikbaar gesteld.
Wat leren we hiervan?
Het oordeel van de AP benadrukt nog maar eens dat goede en begrijpelijke informatie belangrijk is. Transparantie is een uitdrukking van het beginsel van eerlijkheid. Dit is tevens opgenomen in artikel 8 van het Handvest van de Grondrechten van de Europese Unie. Transparantie is dan ook opgenomen in artikel 5 van de AVG als één van de basisbeginselen van een rechtmatige en zorgvuldige verwerking van persoonsgegevens.
Betrokkenen hebben het recht om te weten wat er met hun persoonsgegevens gebeurt. Organisaties onderschatten soms hoe belangrijk het is om betrokkenen juist en volledig te informeren op een transparante manier. Neem daarom nog eens uw eigen privacyverklaring onder de loep. Is de informatie op een duidelijke manier gepresenteerd? En is de privacyverklaring makkelijk toegankelijk voor iedere betrokkene? Feit is dat veel mensen de privacyverklaring niet lezen. Dat is geen reden om er geen beschikbaar te stellen. Hopelijk inspireert onze privacyverklaring jullie om van je privacyverklaring iets aantrekkelijks te maken!
Weten hoe volwassen uw organisatie is op gebied van privacy? Mail naar hallo@privacy1.nl voor meer informatie!
[1] Groep Gegevensbescherming Artikel 29, Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker. Bekrachtigd door European Data Protection Board (EDPB). https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf [1] Een grensoverschrijdende verwerking houdt in dat een organisatie persoonsgegevens verwerkt in verschillende EU-lidstaten. Gegevensverwerking kan ook grensoverschrijdend zijn als de verwerking in één EU-lidstaat plaatsvindt, maar wezenlijke gevolgen heeft voor betrokkenen in een ander lidstaat. Zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/een-loketmechanisme-onestopshop