noyb winst tegen Europese Commissie: EDPS (Europen Data Protecton Supervisor) komt met een besluit waarin wordt vastgesteld dat de Europese Commissie illegaal reclame heeft gericht op burgers door gebruik te maken van "gevoelige" persoonlijke gegevens over hun beleidsstandpunten.
- Besluit van de EDPS(later geüpload)
- Klacht ingediend bij de EDPS in 2023
- Gerelateerde noyb-klachten in Duitsland ("Target Leaks")
EU-Commissie probeerde politieke standpunten in Nederland te beïnvloeden. In de controversiële strijd over de zwaar bekritiseerdechatcontroleverordening (een wetsvoorstel van de EU dat alle versleutelde online communicatie zou kunnen ondermijnen zodat autoriteiten online chats kunnen lezen), heeft de Europese Commissie Nederland aangewezen als een lidstaat die ze politiek wilde beïnvloeden. In een poging om de standpunten in Nederland "om te draaien", ging de Commissie naar X/Twitter en plaatste indirecte berichten om deze verordening te promoten.
Politieke targeting op X/Twitter. De Europese Commissie postte echter niet alleen deze politieke berichten, maar richtte zich ook op gebruikers die niet geïnteresseerd waren in trefwoorden als: #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, christelijk, christen-fobie of Giorgia Meloni. Het was duidelijk de bedoeling om alleen politiek liberale of linkse gebruikers te targeten, maar geen conservatieve of rechtse gebruikers. Adverteerders gebruiken vaak zogenaamde "proxy data" (dus gegevens die nauw verbonden zijn met politiek denken) om te targeten op politieke standpunten. Hiermee heeft de Europese Commissie duidelijk de aanzet gegeven tot het verwerken van persoonlijke gegevens van EU-burgers om hen te targeten met advertenties.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Sinds Cambridge Analytica is het duidelijk dat gerichte advertenties de democratie kunnen beïnvloeden. Het gebruik van politieke voorkeuren voor advertenties is duidelijk illegaal. Toch vertrouwen veel politieke spelers erop en ondernemen online platforms bijna geen actie. Daarom verwelkomen we het besluit van de EDPS."
Geen wettelijke basis. Naast "normale" persoonsgegevens geeft de wet speciale bescherming aan zogenaamde gevoelige gegevens, waaronder politieke meningen vallen. De door de Commissie gekozen categorieën zijn niet allemaal direct "conservatief" of "rechts", maar toch duidelijk gericht op politieke opvattingen van burgers. Het enige doel om "brexit" uit te sluiten in een dergelijke context is om mensen te verwijderen die sympathiseren met Brexit. Dergelijke verwerking is alleen toegestaan onder zeer beperkte voorwaarden - zoals uitdrukkelijke toestemming. Dergelijke toestemming bestond niet. Het ontbrak de Europese Commissie ook aan een andere rechtsgrondslag.
EU-Commissie aan de macht. De EDPS verduidelijkte dat de Commissie een verwerkingsverantwoordelijke was en volledig aansprakelijk is voor onrechtmatige targeting op het platform. Het online platform kan echter ook verantwoordelijk worden gehouden voor dezelfde zaak. noyb heeft in 2023 ook een klacht ingediend tegen X/Twitter bij het CBP.
Felix Mikolasch, advocaat gegevensbescherming bij noyb:"We hebben veel meer zaken over politieke microtargeting in de lidstaten. Veel politieke partijen maken zich schuldig aan dezelfde illegale praktijk. We hopen dat de beslissing van de EDPS een leidraad zal zijn voor nationale autoriteiten die momenteel dergelijke praktijken onderzoeken."
Berisping. De EDPS heeft alleen een berisping gegeven - dus een formele vaststelling dat de verwerking illegaal was en een formele waarschuwing. De EDPS was van mening dat andere maatregelen, zoals een boete, niet nodig waren omdat de Commissie de praktijk stopzette. Het besluit werd uitgevaardigd op grond van Verordening (EU) 2018/1725, vaak de "EU GDPR" genoemd, die alleen van toepassing is op de EU-instellingen, maar sterk lijkt op de "normale" GDPR die voor alle anderen geldt.
- Decision by the EDPS
- Complaint filed with the EDPS in 2023
- Related noyb complaints in Germany ("Target Leaks")
EU Commission tried to influence political views in the Netherlands. In the contentious fight over the heavily criticized chat control regulation (a proposed EU law that could undermine all encrypted online communication to allow authorities to read online chats), the European Commission has identified the Netherlands as a Member State that they wanted to influence politically. In an attempt to "flip" the views in the Netherlands, the Commission went to X/Twitter and made postings indirectly promoting this Regulation.
Political Targeting on X/Twitter. The European Commission did however not only post these political messages, but also targeted users who weren't interested in keywords like: #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Christian-phobia or Giorgia Meloni. The clear intention was to only target politically liberal or left users, but not conservative or right-wing users. Advertisers often use so-called "proxy data" (so data closely associated with political thinking) to target politician views. By doing so the European Commission has clearly triggered the processing of personal data of EU citizens to target them with ads.
Felix Mikolasch, Data Protection Lawyer at noyb: "Since Cambridge Analytica it is clear that targeted ads can influence democracy. Using political preferences for ads is clearly illegal. Nevertheless many political players rely on it and online platforms take almost no action. Therefore, we welcome the decision of the EDPS."
No legal basis. Other than "normal" personal data, the law gives special protection to so-called sensitive data, which includes political opinions. The categories chosen by the Commission are not all directly "conservative" or "right-wing" but still clearly targeted political views of citizens. The only purpose to exclude "brexit" in such a context is to remove people sympathizing with Brexit. Such processing is only allowed under very limited conditions - such as explicit consent. Such consent did not exist. The European Commission also lacked any other legal basis.
EU Commission in control. The EDPS clarified that the Commission was a controller of the processing operation and is fully liable for unlawful targeting on the platform. However, the online platform may also be held responsible for the same case. noyb has also filed a complaint against X/Twitter with the Dutch DPA in 2023.
Felix Mikolasch, Data Protection Lawyer at noyb: "We have many more cases on political microtargeting in the Member States. Many political parties engage in the same illegal practice. We hope the EDPS decision will be a guiding light for national authorities that currently investigate such practices."
Reprimand. The EDPS only issued a reprimand - so a formal finding that the processing was illegal and a formal warning. The EDPS considered that other measures, such as a fine, were not necessary as the Commission stopped the practise. The decision was issued under Regulation (EU) 2018/1725, often called the "EU GDPR" that only applies to the EU institutions, but is very similar to the "normal" GDPR that applies to everyone else.