Auteur: Sander van Oostrom
In dit artikel bespreekt VIA-jurist Sander van Oostrom de boete die Meta heeft gekregen voor de doorgifte van persoonsgegevens naar de VS.
Meta heeft een forse boete (1,2 miljard euro) gekregen van de Ierse Data Protection Commission (DPC) doordat het onrechtmatig intern persoonsgegevens doorgeeft van Meta Ireland naar haar kantoor in de Verenigde Staten (VS).
Voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Ook als dit, zoals bij Meta, binnen een concern plaatsvindt. De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar landen buiten de EER met een passend beschermingsniveau. Dit betekent concreet dat doorgifte alleen is toegestaan als:
er een adequaatheidsbesluit is genomen; de partijen die persoonsgegevens door willen geven passende waarborgen hebben getroffen, door bijvoorbeeld Standard Contractual Clauses (SCC’s) te sluiten; sprake is van een van de uitzonderingen genoemd in artikel 49 AVG (is maar in hele specifieke gevallen van toepassing en wordt daarom hier niet verder op ingegaan).
Een adequaatheidsbesluit is een besluit genomen door de Europese Commissie waarin het bepaalt dat een land of regio een passend beschermingsniveau heeft. Dit betekent dat het veilig is om persoonsgegevens te delen met organisaties gevestigd in het/de betreffende land of regio.
In 2020 heeft het Hof van Justitie van de Europese Unie het adequaatheidsbesluit tussen de EU en VS (beter bekend als het ‘Privacy Shield’) ongeldig verklaard. Het Hof stelt dat het Privacy Shield onvoldoende bescherming garandeert omdat, op grond van de Amerikaanse wetgeving, de inlichtingen- en veiligheidsdiensten daar vergaande rechten hebben om gegevens van (Europese) burgers in te zien en te gebruiken. Dit betekent dat in de VS geen passend niveau van gegevensbescherming wordt geboden en dat Meta geen beroep meer kan doen op deze uitzondering voor de uitwisseling van persoonsgegevens tussen haar kantoren in Ierland en de VS.
Meta heeft het wegvallen van het Privacy Shield geprobeerd op te lossen door SCC’s af te sluiten tussen Meta Ireland en Meta Inc. (in de VS). SCC’s zijn bepalingen die een minimaal beschermingsniveau zouden moeten vastleggen tussen de uitwisselende partijen. Een contract tussen twee private partijen kan echter niet de bevoegdheid van een overheid beperken. Aangezien dat exact het probleem is in de VS bieden de SCC’s geen uitkomst, is nu bepaald door de DPC. De DPC stelt dat de SCC’s niet voorkomen dat de overheid van de VS gebruik maakt van de (te ruime) bevoegdheid om gegevens van Europese burgers te onderscheppen. Hierdoor blijft de doorgifte van persoonsgegevens onrechtmatig.
De DPC heeft Meta daarom een boete van 1,2 miljard euro gegeven. De recordboete is niet de enige maatregel die de DPC oplegt aan Meta. Ook moet het techbedrijf binnen vijf maanden stoppen Europese persoonsgegevens naar servers in de VS te sturen, en de persoonsgegevens die nog overzee zijn opgeslagen in Europa onderbrengen.
Meta zegt in een reactie dat het in beroep gaat tegen het besluit. Volgens Meta zijn duizenden bedrijven en organisaties afhankelijk van gegevensoverdracht tussen de EU en de VS. Meta verwijst in haar reactie daarnaast meermaals naar het feit dat er momenteel wordt gewerkt aan een wettelijk kader om persoonsgegevens tussen de EU en de VS legaal uit te wisselen (Privacy Shield 2.0). Het redeneert dat dat akkoord er op korte termijn zal komen en dat een bedrijf daar nu voor veroordelen met een hoge boete ongerechtvaardigd is en een gevaarlijk precedent schept voor de talloze andere bedrijven die gegevens tussen de EU en de VS overdragen.
