Meta, het moederbedrijf van Facebook, ziet zich gesteld voor een belangrijke uitspraak van de Ierse autoriteit voor gegevensbescherming (DPC). De beslissing omvat een hoge boete van 1,2 miljard euro en de opschorting van de overdracht van Europese persoonsgegevens naar de Verenigde Staten omdat de Amerikaanse toezichtswetgeving onvoldoende zekerheden biedt. Meta is van plan in beroep te gaan tegen de beslissing en hoopt tegelijkertijd op een nieuwe overeenkomst over gegevensoverdracht tussen de EU en de VS.
De uitkomst van deze zaak heeft verstrekkende gevolgen voor gegevensbeschermings- en privacykwesties in Europa. Lees verder voor meer informatie 👇
In tien jaar tijd zijn drie afzonderlijke gerechtelijke procedures over deze kwestie gevoerd, waarbij de juridische kosten tot in de miljoenen zijn opgelopen.
→ In 2013, wees de DPC de eerste klacht nog af en betitelde deze als “onbelangrijk”. Max Schrems, oprichter van noyb – European Center for Digital Rights, heeft daarop de kwestie voorgelegd aan het Hof van Justitie van de Europese Unie (HvJ-EU).
→ Later betoogde de DPC dat zij niet bevoegd was om actie te ondernemen omdat Meta gebruik maakte van standaardcontractbepalingen. Het HvJ-EU wees dit argument echter af en gaf de DPC opdracht om tot handhaving over te gaan.
→ In januari 2023 legde de DPC Meta een boete op van in totaal 390 miljoen euro voor het overtreden van de AVG-voorschriften bij Facebook en Instagram. Het Europees Comité voor gegevensbescherming (EDPB) en andere Europese toezichthouders vonden de boete echter te laag, wat leidde tot een herbeoordeling van de situatie.
🔎 Meer informatie over de zaak vind je hier →
De gerechtelijke procedures die hiervan het gevolg waren, leidden tot juridische kosten van meer dan 10 miljoen euro, waarbij de boete zelf werd toegewezen aan de Ierse staat.
In een historische beslissing over Meta, heeft de Ierse DPC Meta verboden om nog langer Europese persoonsgegevens over te dragen naar de Verenigde Staten omdat de Amerikaanse toezichtswetgeving onvoldoende zekerheden biedt.
Het EDPB heeft deze beslissing toegejuicht waarbij het aangaf dat een hoge boete op zijn plaats was, naast het terugbrengen van eerder overgedragen persoonsgegevens naar datacenters in de EU.
Na kennisname van de beslissing tot een gedwongen opschorting van gegevensoverdracht, publiceerde Meta direct een blog over de ontstane situatie en gaf zij aan in beroep te gaan.
💬 In haar verklaring verlegde Meta de aandacht naar de verschillen tussen EU- en Amerikaanse wetgeving. Meta voerde aan dat de kwestie vooral voortkomt uit de complexiteit van internationale rechtskaders.
Meta rekentvoor toekomstige gegevensoverdrachten op een nieuwe overeenkomst voor gegevensoverdracht. Een nieuwe overeenkomst tussen de EU en de VS kan eerdere overtredingen van de wetgeving echter niet rechtzetten. Bovendien kreeg de deal kritiek van het Europees Parlement en kan het gebeuren dat deze door het Europese Hof van Justitie ongeldig wordt verklaard, net als de vorige deals (het Privacyschild en de Safe Harbor).
💬 Schremsis van mening dat de kans klein is dat een nieuwe deal controle door de rechter overleeft. Tenzij de Amerikaanse toezichtswetgeving wordt aangepast, is het waarschijnlijk dat Meta Europese persoonsgegevens binnen de EU moet opslaan.
De Europese Commissie en de Verenigde Staten hebben principe-overeenstemming bereikt over een transatlantisch kader voor gegevensbescherming (DPF). Met het Data Privacy Framework moeten persoonsgegevens die naar de VS worden overgedragen voldoende worden beschermd. Hiermee wordt tegemoetgekomen aan de uitspraak van het Europese Hof van Justitie over veilige en beveiligde gegevensstromen.
Er is nog wel werk aan de winkel voordat de definitieve tekst klaar is. De VS heeft een uitvoeringsbesluit uitgevaardigd, waarin de afspraken van de overeenkomst zijn opgenomen. De Europese Commissie moet echter op basis hiervan nog een ontwerpadequaatheidsbesluit vaststellen. Het EDPB is ook betrokken geweest bij de procedure en heeft zijn standpunt kenbaar gemaakt.
Waarschijnlijk zullen er geen onmiddellijke wijzigingen zijn.
→ De recente beslissing voorziet in een overgangsperiode van ongeveer zes maanden voordat Meta de gegevensstromen moet opschorten.
→ Gedurende deze periode blijft de dienstverlening gewoon werken.
→ Aangezien Meta heeft aangegeven dat zij in beroep gaat tegen de beslissing, kan het bedrijf proberen de uitvoering uit te stellen tot de beroepsproceure gevoerd is.
Het is nog maar de vraag of de nieuwe overeenkomst inzake transatlantische gegevensoverdracht klaar is voordat de overgangsperiode van zes maanden voorbij is. In theorie zou Meta de opschorting van gegevensstromen tussen de EU en de VS tijdens de overgangsperiode kunnen omzeilen als de goedkeuring van een nieuwe deal op tijd komt. Deze oplossing zou kunnen voorkomen dat de dienstverlening in de EU wordt opgeschort.
Het is echter zeer onwaarschijnlijk dat een dergelijke deal terugwerkende kracht heeft, zodat de verplichtingen van deze beslissing in stand blijven.
Ook worden juridische procedures over de nieuwe transatlantische overeenkomst inzake gegevensoverdracht verwacht. Dit betekent dat Meta en andere Amerikaanse techgiganten met bedrijfsmodellen die afhankelijk zijn van gegevensoverdracht naar de VS, in de toekomst voor soortgelijke uitdagingen kunnen komen te staan.
