De Ierse toezichthouder (DPC) legde op 12 mei 2023 een boete van 1,2 miljard euro op aan Meta, het moederbedrijf van Facebook, wegens ernstige inbreuken op de GDPR bij de doorgifte van persoonsgegevens uit de EER aan de Verenigde Staten (VS). Daarnaast mag Meta de persoonsgegevens die het in de Europese Economische Ruimte (EER) verzamelt, niet langer doorgeven aan de VS. Een heuse unlike voor Facebook.

Die boete betekent voorlopig (?) het einde van het onderzoek tegen Meta dat al sinds augustus 2020 loopt. De uitspraak van de Ierse DPC kwam er pas na tussenkomst van het Europees Comité voor Gegevensbescherming (EDPB), dat op 13 april 2023 een bindende beslissing nam op grond van artikel 65 GDPR. 1, 2

Volgens de EPDB had Meta ernstige inbreuken gepleegd op de transparantievereisten uit de GDPR. Meta liet na om gebruikers van de Meta diensten, Facebook in het bijzonder, duidelijk te informeren over hoe hun persoonsgegevens verzameld en gebruikt worden. Evenmin werd hen om toestemming gevraagd voor bepaalde vormen van gegevensverwerking. Bovendien nam Meta geen passende beveiligingsmaatregelen om de persoonsgegevens van haar gebruikers te beschermen tegen ongeoorloofde toegang en misbruik door derden in de VS.

De boete van 1,2 miljard euro is de hoogste boete ooit voor een inbreuk op de bescherming van persoonsgegevens. Volgens de EDPB is die boete te verantwoorden omdat de inbreuk zeer ernstig is, namelijk: repetitief, systematisch en continu. Daarmee markeert de EDPB een belangrijk keerpunt in de handhaving van dataprivacy en geeft zij een krachtige waarschuwing voor techreuzen over de hele wereld.

Europese persoonsgegevens doorgeven aan de VS onmogelijk?

Het delen van persoonsgegevens tussen de EER en de VS blijft een complex en controversieel onderwerp. De VS wordt in principe beschouwd als een land dat geen passend niveau van bescherming van doorgegeven persoonsgegevens waarborgt.

Via verschillende mechanismen poogde de EU om de bescherming van persoonsgegevens uit de EER te waarborgen, wanneer die gegevens doorgegeven worden aan de VS.

In eerste instantie vertrouwde de EU op het Safe Harbor Framework om de overdracht van persoonsgegevens aan de VS te reguleren. Het Safe Harbor Framework voorzag in een mechanisme en richtsnoeren voor bedrijven uit de VS. Bedrijven die zich aansloten bij het programma, kregen zodoende een soort kwaliteitslabel voor gegevensbescherming conform aan de toen geldende Europese Privacyrichtlijn en werden aldus beschouwd als 'veilige ontvangers van persoonsgegevens'. Het Hof van Justitie (HvJ) van de Europese Unie verklaarde het Safe Harbor Framework echter ongeldig op 6 oktober 2015.

Ter vervanging van het Safe Harbor Framework, werd het EU-VS Privacy Shield ontwikkeld. Het EU-VS Privacy Shield voorzag opnieuw in een soort van kwaliteitslabel voor bedrijven uit de VS die de principes ervan onderschreven. Ook dit kader werd in 2020 ongeldig verklaard door het HvJ omdat de bescherming van persoonsgegevens in de VS naar Europese maatstaven ontoereikend was. 3 Europa maakt zich immers ernstige zorgen dat de Amerikaanse inlichtingendiensten toegang hadden tot doorgegeven persoonsgegevens (remember Edward Snowden en de omstreden Amerikaanse surveillanceprogramma’s?).

Momenteel is er een nieuwe regelgeving in de maak onder de naam Data Privacy Framework. Helaas verloopt de weg naar een finaal regelgevend kader opnieuw niet over rozen. Op 11 mei 2023 nam het Europees Parlement een resolutie aan waarin het de Europese Commissie oproept om nog verder te onderhandelen met haar Amerikaanse tegenhangers. Volgens het Europees Parlement is het Data Privacy Framework op dit ogenblik nog niet voldoende future proof. Het garandeert nog niet voldoende effectieve en gelijkwaardige bescherming als de GDPR om te worden aangenomen.

SCC’s to the rescue?

In afwachting van een adequaat regelgevend kader over het doorgeven van persoonsgegevens vanuit de EU naar de VS, kan men wel nog de zogenaamde Standard Contractual Clauses (SCC’s) gebruiken.

Die SCC’s zijn modelcontracten, door de Europese Commissie opgesteld, die voorwaarden bevatten waaraan contracterende partijen zich moeten houden bij de verwerking van persoonsgegevens. Die SCC’s garanderen dat persoonsgegevens die worden overgedragen naar landen buiten de EER een passend niveau van gegevensbescherming behouden in overeenstemming met de Europese GDPR.

De geldigheid van die SCC’s is evenwel onderwerp van discussie. In de uitspraak van het HvJ in juli 2020, waarin het EU-VS Privacy Shield-kader ongeldig verklaard werd, werden aanvullende overwegingen gemaakt bij het gebruik van SCC’s om persoonsgegevens uit de EER door te geven aan de VS. Het Hof oordeelde dat, als het ontvangende land geen adequaat niveau van gegevensbescherming biedt, de doorgifte van persoonsgegevens op basis van SCC’s moet worden opgeschort.

Wie persoonsgegevens uit de EER naar de VS wil overdragen via SCC’s, moet dus zorgvuldig beoordelen of de gegevensbescherming in de VS voldoet aan de vereisten van de GDPR. Eventueel moet de overdrager maatregelen nemen om de gegevensbescherming te garanderen, bijvoorbeeld via aanvullende contractuele bepalingen. Daardoor moet de ontvanger in de VS zich mogelijk onderwerpen aan bepaalde regelingen of certificeringsmechanismen om een adequaat niveau van gegevensbescherming te waarborgen.

Dit brengt ons terug naar de miljardenboete die Meta kreeg opgelegd. Meta verantwoordde de doorgifte van persoonsgegevens aan de VS op basis van SCC’s, maar de Ierse toezichthouder oordeelde dat de SCC’s in kwestie de risico’s op schending van de fundamentele rechten en vrijheden van de betrokkenen in de EU niet beperkten. Het bleef bijvoorbeeld mogelijk dat de Amerikaanse veiligheids- en inlichtingendiensten uitgebreide persoonlijke informatie van Facebookgebruikers in de EU konden verzamelen en controleren.

Impact voor de toekomst?

De boete aan Meta is niet alleen een mijlpaal in de geschiedenis van de GDPR als precedent voor strengere handhaving van de privacy, dat een fundamenteel recht is. De boete maakt bedrijven ook bewust dat zij zware consequenties kunnen verwachten wanneer zij het recht op privacy schenden door onvoldoende waarborgen voor bescherming van persoonsgegevens te voorzien.

Meta heeft alvast aangekondigd in beroep te gaan tegen de boete. Waarschijnlijk zal ze proberen om het bedrag ervan te verkleinen. De uitkomst van dit beroep zal belangrijk zijn voor de toekomstige handhaving van de GDPR en voor de relatie tussen techbedrijven en regelgevers. Dit benadrukt alleen maar de nood aan een degelijk regelgevend kader over de doorgifte van persoonsgegevens uit de EER aan de VS.

Handhaving van privacy in België

Stijging boetes

Ook in België blijft het aantal sancties stijgen voor inbreuken op de bescherming van persoonsgegevens: van 143 in 2021 naar 189 in 2022. Dat vertaalt zich in een stijging van 301.000 euro naar 740.000 euro aan boetes. Dat aantal zal enkel toenemen.

Class action claims

Bovendien wordt verwacht dat, via het class actions-systeem, claims mogelijk worden die veel hoger zijn dan de huidige boete. 4

Die trend beweegt al bij onze noorderburen. Zo roept de Nederlandse Consumentenbond momenteel Nederlandse Facebookgebruikers op om hun claims over de doorgifte van hun persoonsgegevens tussen de EU en de VS in te dienen. 5 Af te wachten dus of het ook druppelt in Brussel als het regent in Amsterdam…

Steven De Grave, advocaat bij De Groote – De Man

Referenties:

1. Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service (Art. 65 GDPR)

2. Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation of 12 May 2023

3. HvJ (Grote Kamer) nr. C-311/18, 16 juli 2020 (Data Protection Commissioner / Facebook Ireland Ltd, Maximillian Schrems); Pb C 7 september 2020 (dispositief), afl. 297, 4

4. Gegevensbeschermingsautoriteit – Jaarverslag 2022

5. Website van Nederlandse Consumentenbond