De Oostenrijkse privacy-non-profitorganisatie Geen van Uw Bedrijf (noyb) heeft klachten ingediend waarin bedrijven als TikTok, AliExpress, SHEIN, Temu, WeChat en Xiaomi worden beschuldigd van het overtreden van de gegevensbeschermingsregels in de Europese Unie door op onrechtmatige wijze gebruikersgegevens naar China over te dragen.
De belangenorganisatie eist een onmiddellijke opschorting van dergelijke overdrachten en stelt dat de bedrijven in kwestie de gebruikersgegevens niet kunnen beschermen tegen mogelijke toegang door de Chinese overheid. De klachten zijn ingediend in Oostenrijk, België, Griekenland, Italië en Nederland.
“Gezien het feit dat China een autoritaire toezichtstaat is, is het overduidelijk dat China niet hetzelfde niveau van gegevensbescherming biedt als de EU”, zegt Kleanthi Sardeli, advocaat gegevensbescherming bij noyb. “Het overdragen van persoonlijke gegevens van Europeanen is duidelijk onwettig – en moet onmiddellijk worden beëindigd.”
Noyb merkte op dat de bedrijven geen andere keuze hebben dan te voldoen aan de verzoeken van de Chinese autoriteiten om toegang tot gegevens, en dat Peking geen onafhankelijke gegevensbeschermingsautoriteit heeft om kwesties in verband met overheidstoezicht aan de orde te stellen.
Het zei ook dat geen van de bedrijven heeft gereageerd op zijn toegangsverzoeken op grond van de Algemene Verordening Gegevensbescherming (AVG) om duidelijkheid te zoeken over de aard van gegevensoverdrachten en of deze worden doorgegeven aan China of een ander land buiten de EU.
“Volgens hun privacybeleid dragen AliExpress, SHEIN, TikTok en Xiaomi gegevens over naar China”, zei noyb. “Temu en WeChat maken melding van overdrachten naar derde landen. Volgens de bedrijfsstructuur van Temu en WeChat omvat dit hoogstwaarschijnlijk ook China.”
De ontwikkeling komt terwijl TikTok, eigendom van ByteDance, zich voorbereidt om zijn app in de VS te sluiten vanaf 19 januari 2025, wanneer een federaal verbod op het sociale-mediaplatform van kracht zal worden.
De afgelopen maanden heeft noyb GDPR-gerelateerde klachten ingediend tegen Google, Microsoft en Mozilla voor het volgen van gebruikers zonder toestemming via respectievelijk Privacy Sandbox, Xandr en Firefox.
FTC onderneemt actie tegen General Motors en GoDaddy
De klachten vallen ook samen met het feit dat de Amerikaanse Federal Trade Commission (FTC) autofabrikant General Motors gedurende vijf jaar verbiedt om gegevens die zij verzamelt van bestuurders, waaronder geolocaties en informatie over het rijgedrag, openbaar te maken aan consumenteninformatiebureaus, omdat zij dergelijke gegevens delen zonder hun uitdrukkelijke toestemming.
Volgens een onderzoek van de New York Times in maart 2024 werd de informatie gedeeld met twee datamakelaars, LexisNexis Risk Solutions en Verisk, die samenwerkten met de verzekeringssector om risicoprofielen te genereren en de autoverzekeringstarieven voor sommige bestuurders te verhogen.
In een verklaring zei General Motors dat het het gegevensverzamelingsprogramma ‘Smart Driver’ in april 2024 al had stopgezet ‘vanwege feedback van klanten’. Het bedrijf zei dat klanten toegang konden krijgen tot hun persoonlijke gegevens en deze konden verwijderen via een Amerikaans consumentenprivacyverzoekformulier op haar website.
De FTC heeft websitehostingprovider GoDaddy ook opdracht gegeven een alomvattend informatiebeveiligingsprogramma te implementeren om de ‘onredelijke beveiligingspraktijken’ die tussen 2019 en 2022 tot meerdere datalekken van klanten hebben geleid, te herzien. GoDaddy heeft geen enkel wangedrag toegegeven en heeft ook geen boete gekregen.
“GoDaddy is er niet in geslaagd redelijke en passende beveiligingsmaatregelen te implementeren om zijn website-hostingomgevingen te beschermen en te monitoren op veiligheidsrisico’s, en klanten te misleiden over de omvang van de gegevensbeveiliging op zijn website-hostingdiensten”, aldus de FTC.
Het bureau wees erop dat GoDaddy zijn bezittingen en inventaris niet goed beheerde; de software patchen; risico’s voor zijn hostingdiensten beoordelen; gebruik meerfactorauthenticatie; beveiligingsgerelateerde gebeurtenissen registreren; monitoren op veiligheidsbedreigingen; zijn netwerk segmenteren; en beveiligde verbindingen met diensten die toegang bieden tot consumentengegevens.
Het consumentenbeschermingsagentschap heeft sindsdien ook wijzigingen aangekondigd in de online privacywaarborgen voor kinderen onder de Children’s Online Privacy Protection Rule (COPPA), die het verkrijgen van verifieerbare toestemming van de ouders vereisen voordat hun gegevens voor reclamedoeleinden worden verwerkt of met derden worden gedeeld.
Bovendien legt de regel een nieuw beleid voor het bewaren van gegevens op, waardoor bedrijven de informatie van kinderen alleen moeten bewaren “zo lang als redelijkerwijs nodig is om een specifiek doel te bereiken waarvoor deze is verzameld.”
“Door van ouders te eisen dat ze zich aanmelden voor gerichte reclamepraktijken, verbiedt deze laatste regel platforms en dienstverleners om de gegevens van kinderen te delen en er inkomsten mee te genereren zonder actieve toestemming”, aldus FTC-voorzitter Lina M. Khan.
