TikTok-privacy-update in Europa bevestigt de toegang van Chinees personeel tot gegevens terwijl de AVG-sonde doorgaat • TechCrunch

0
9


Een inkomende wijziging van het privacybeleid die gisteren door TikTok is aangekondigd voor gebruikers in Europa – die China voor het eerst noemt als een van de vele derde landen waar gebruikersgegevens op afstand kunnen worden geopend door “bepaalde” bedrijfsmedewerkers om te doen wat het beweert “belangrijk” te zijn. ”-functies — is maanden eerder geland dan verwacht in een onderzoek van meer dan een jaar naar de gegevensexport van het platform naar China onder de Algemene Verordening Gegevensbescherming (AVG) van het blok.

Het AVG-onderzoek naar de wettigheid van de gegevensoverdrachten van het videodeelplatform naar China wordt geleid door de Ierse Data Protection Commission (DPC), TikTok’s belangrijkste privacytoezichthouder in de regio, die het onderzoek opende iets meer dan een jaar geleden. De DPC vertelde TechCrunch vandaag dat het verwacht dat het TikTok-onderzoek naar gegevensoverdracht de komende maanden naar de volgende fase zal gaan – met een ontwerpbesluit dat naar verwachting in het eerste kwartaal van volgend jaar naar andere EU-DPA’s zal worden gestuurd voor beoordeling.

Dit “Artikel 60” herzieningsproces zou kunnen leiden tot een bevestiging van het Ierse ontwerpbesluit, wat vervolgens, in relatief korte tijd, een definitief besluit zou kunnen geven (mogelijk voor medio volgend jaar, te oordelen naar eerdere onderzoekstermijnen) . Als andere EU-regelgevers echter bezwaar maken tegen het Ierse ontwerpbesluit, zou het onderzoek moeten worden verplaatst naar een ‘artikel 65’-geschillenbeslechtingsproces – wat nog veel meer maanden aan het proces zou kunnen toevoegen voordat een definitief besluit kan worden genomen, aangezien de regelgevers van het blok consensus zoeken.

Het is niet duidelijk of TikTok’s aankondiging van de aanpassing van het privacybeleid betrekking heeft op dit overkoepelende AVG-onderzoek. De inkomende wijzigingen – die vanaf 2 december van toepassing zijn – bevatten ook een update over hoe het platform locatie-informatie van gebruikers verzamelt, zodat ze niet volledig gericht zijn op gegevensoverdracht.

Maar de onthulling van Chinese stafleden die toegang hebben tot Europese gebruikersgegevens zou ook een niet erg subtiele poging kunnen zijn om de handhaving van de regelgeving op de gegevensoverdrachten te voorkomen — en een toekomstige klap te verzachten door te kunnen wijzen op stappen die al zijn genomen om de gegevensoverdracht te verbeteren. transparantie met Europese gebruikers. (Niet dat dit echter het enige potentiële probleem van regelgevende zorg is met betrekking tot gegevensexport.)

Een woordvoerder van TikTok weigerde commentaar te geven op de vraag of het bijgewerkte privacybeleid op enigerlei wijze verband houdt met het AVG-onderzoek, en zei dat het dit niet kon doen omdat het onderzoek nog aan de gang is.

In een blogpost waarin de update werd aangekondigd, beweerde het bedrijf echter dat de wijzigingen “meer transparantie omvatten over hoe we gebruikersinformatie buiten Europa delen”.

Dat is opmerkelijk omdat transparantie een belangrijk principe is van de AVG – terwijl schendingen van het transparantieprincipe kunnen leiden tot strenge straffen (zoals de boete van $ 267 miljoen voor WhatsApp van Meta vorig jaar, nadat een door Ierland geleid onderzoek een reeks transparantie-inbreuken aan het licht bracht ).

Beweren dat je transparant bent en eigenlijk zijn transparant zijn natuurlijk niet noodzakelijk hetzelfde. Het is dus vermeldenswaard dat het bijgewerkte privacybeleid van TikTok belangrijke stukjes informatie lijkt te verstuiven, zoals de volledige lijst van derde landen waar werknemers op afstand toegang kunnen krijgen tot de gegevens van Europese gebruikers en om welke specifieke redenen, over een aantal inklapbare menu’s en hyperlinks verspreid door het hele beleid, waardoor een gebruiker moet rondklikken, meerdere links moet volgen en in feite moet zoeken naar relevante informatie te midden van een groter moeras van gegevens om een ​​uitgebreid beeld te krijgen van wat er met hun gegevens gebeurt (in plaats van alles duidelijk te articuleren en te verzamelen in een enkele, gemakkelijk te verteren weergave …).

Dus als het transparantie is, schiet TikTok hier echt voor, het lijkt er nog steeds op dat er werk aan de winkel is.

Ook voor TikTok is er nog werk in uitvoering: een datalokalisatieproject om de gegevens van Europese gebruikers in de regio op te slaan – waarvan eerder dit jaar werd aangekondigd dat het opnieuw was uitgesteld (tot 2023).

Het punt is dat als TikTok van plan is om door te gaan met het toestaan ​​van werknemers die in derde landen zijn gevestigd zonder EU-overeenkomst inzake adequaatheid, waarin wordt bevestigd dat ze in wezen gelijkwaardige normen voor gegevensbescherming hebben als het blok om op afstand toegang te hebben tot de informatie van Europese gebruikers, er dan vragen worden gesteld over de wettigheid van zijn internationale gegevensoverdrachten. zullen waarschijnlijk blijven bestaan.

Naast China noemt TikTok’s privacybeleid Brazilië, Maleisië, de Filippijnen, Singapore en de VS (die slechts een voorlopige overeenkomst met de EU heeft voor een nieuwe overeenkomst voor gegevensoverdracht atm) als landen waar werknemers op afstand toegang hebben tot Europese gebruikersgegevens zonder de dekking van een adequaatheidsovereenkomst – zegt dat het vertrouwt op standaard contractuele clausules (SCC’s) voor deze overdrachten.

Maar, zoals de EDPB-richtsnoeren inzake gegevensoverdracht aangeven, moet elke doorgifte naar een derde land afzonderlijk worden beoordeeld en sommige zijn wettelijk niet mogelijk, zelfs niet als aanvullende maatregelen worden toegepast. Dus elk van deze overdrachten moet bestand zijn tegen regelgevend toezicht.

Gezien zoveel overdrachten naar derde landen, kan TikTok’s Europese datalokalisatieproject alleen – althans voorlopig – worden beschouwd als een PR-oefening. En/of een poging om in de gunst te komen bij lokale regelgevers in de hoop dat ze een vriendelijker beeld krijgen van de lopende gegevensexport. Tenzij of totdat het de gegevensexport naar derde landen staakt en een manier vindt om zijn moedermaatschappij in China volledig te beschermen tegen toegang tot de gegevens van Europese gebruikers in het openbaar.

De woordvoerder van TikTok weigerde commentaar te geven op eventuele toekomstige plannen die het mogelijk heeft om zijn gegevensoverdrachten verder aan te passen in het licht van deze uitdagingen, maar hij verwees terug naar zijn blogpost, waarin zijn benadering van gegevensbeheer in Europa wordt beschreven als “gericht op het beperken van het aantal werknemers met toegang tot Europese gebruikersgegevens, het minimaliseren van gegevensstromen buiten de regio en het lokaal opslaan van Europese gebruikersgegevens”.

Het bredere probleem van TikTok is dat het in de westerse wereld meer in het algemeen wordt geconfronteerd met uitgebreid toezicht op de regelgeving als gevolg van veiligheidsproblemen die verband houden met het vermogen van de Chinese staat om toegang te krijgen tot gegevens die commerciële platforms/diensten voor hun gebruikers in handen hebben – met nationale veiligheidswetten in huis land dat de gebruikelijke standaard contractuele bescherming overschrijdt.

Het platform verzamelt ook ontzettend veel gebruikersgegevens – wat alleen maar zorgen voedt over het vermogen ervan om te worden hergebruikt als een data-honeypot voor staatstoezicht of zelfs voor ‘soft power’-operaties voor buitenlandse invloed.

Hoewel het volgen en profileren van gebruikers verdere specifieke regelgevende problemen in Europa met zich meebrengt – op het gebied van privacy en consumentenbescherming – die enkele beperkingen opleggen aan hoe het kan werken.

TikTok stemde er onlangs bijvoorbeeld mee in om een ​​controversiële wijziging van de rechtsgrondslag waarop het vertrouwt om gerichte advertenties weer te geven te bevriezen na een formele waarschuwing van de Italiaanse DPA – en enige follow-up “engagement” van de DPC – over een plan om toestemming in te trekken ( en een legitiem belang claimen om gerichte advertenties weer te geven). Het model voor profilering en advertentietargeting staat dus voor uitdagingen op een aantal fronten, ook al probeert het zijn bedrijf te verdedigen tegen bredere, geopolitieke veiligheidsproblemen.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in