De Ierse privacywaakhond heeft Meta een monster boete opgelegd van € 1,2 miljard omdat zij de GDPR-bepalingen niet naleven. Het moederbedrijf van Facebook zou namelijk gegevens van gebruikers hebben doorgestuurd naar de Verenigde Staten, zonder aan te tonen dat hun privacy daar gewaarborgd zou zijn. Het gebarsten Privacy Shield speelt hierbij een belangrijke rol. Meta wordt onderdruk gezet om die datadoorgifte stop te zetten. In deze blog zullen we onderzoeken of het voor Meta wel mogelijk is om de datadoorgifte naar de VS stop te zetten en of zij nog wel een toekomst in de EU kunnen hebben.
De voortdurende en herhaaldelijke inbreuken van Meta
De Ierse privacytoezichthouder heeft Meta een GDPR-boete van 1,2 miljard euro gegeven.
Deze boete is de hoogste die sinds de inwerkingtreding van de GDPR is uitgedeeld. Voorheen kwam deze titel toe aan Amazon die vorig jaar een boete van 746 miljoen euro kreeg.
Dit is niet de eerste keer dat Meta en haar dochterbedrijven Europese boetes voor privacyschendingen van honderden miljoenen euro’s opgelegd krijgen.
2. Welke bedrijven kregen nog boetes?
Zo kreeg Whatsapp in 2021 een boete van 225 miljoen euro. De Ierse Data Protection Commission was namelijk van menig dat WhatsApp niet voldoende duidelijkheid bood over wat het platform allemaal doet met de persoonsgegevens van zijn gebruikers.
Ook Facebook kreeg datzelfde jaar een boete 60 miljoen euro, de Franse regulator CNIL vond namelijk dat Facebook het te moeilijk maakte om cookies te weigeren. Waar gebruikers met slechts één klik alle cookies konden accepteren, moesten zij meerdere malen doorklikken om deze cookies te kunnen weigeren.
3. Is de boete van META correct?
Het Europees Comité voor Gegevensbescherming (EDPB) is van mening dat deze boete nochtans correct is.
De inbreuken op de GDPR die Meta heeft gepleegd zijn volgens de EDPB zeer ernstig en doen zich herhaaldelijk en voortdurend voor. Concreet zijn de controversiële ‘standaard contractuele clausules’ het probleem.
Deze zogenaamde scc’s zijn een overblijfsel van het stopgezette Privacy Shield-verdrag, dat door het Europees Hof van Justitie (hierna: HvJ) verboden werd in 2020. Voornoemd verdrag bood aan Tech bedrijven uit Amerika de mogelijkheid om gegevens van Europese gebruikers op te slaan.
Het HvJ besloot echter dat Amerika deze gegevens niet voldoende beschermde en zo kwam er een einde aan het Privacy Shield-verdrag.
Door het stopzetten van dit verdrag is er geen wettelijke grondslag meer op basis waarvan Europese gegevens naar de VS gestuurd mogen worden.
3. Sluiproutes die Amerikaanse bedrijven hadden:
De enige sluiproute die Amerikaanse bedrijven nog hadden waren de scc’s, via deze modelcontracten konden zij ten minste doen alsof ze een overeenkomst hadden met een gebruiker voor het doorgeven van hun persoonsgegevens.
Zo zou er toch een goede reden zijn om de gegevens naar de VS te sturen. Echter zijn deze scc’s niet voldoende, de Ierse privacytoezichthouder heeft al meerdere malen aangehaald dat de betrokkenen niet voldoende duidelijkheid krijgen over wat er precies met hun data gebeurt.
Hiervoor werden Meta en Google al meerdere malen op de vingers getikt. De privacywaakhonden maken zich vooral zorgen over het feit dat de Amerikaanse overheid zich toegang kan verschaffen tot de data van Europese betrokkenen en zelfs van bedrijven als Google en Facebook kan verwachten dat zij de Europese gegevens aan de overheid verschaffen op grond van de Amerikaanse wetgeving 50 US Code § 1881 (b) (4).
Dreigende exit uit EU
De Ierse privacytoezichthouder geeft Meta een periode van 5 maanden om een nieuwe grondslag te vinden om data van Europese gebruikers te verzamelen.
Meta zelf is het absoluut niet eens met de beslissing van de privacytoezichthouder en wil deze aanvechten. Ze zijn namelijk van mening dat de fout niet is ontstaan door de werkwijze van hun bedrijf maar door het fundamenteel juridisch conflict tussen de regels van de Amerikaanse regering en de Europese privacyrechten.
In het verleden heeft Meta reeds meerdere malen aangehaald dat indien er geen nieuw framework wordt aangenomen, en het bedrijf dus geen modelovereenkomsten meer mag gebruiken, het onmogelijk is om een deel van zijn ‘meest significante producten en diensten’, waaronder Facebook en Instagram, aan te bieden in de EU.
Het delen van data tussen landen en regio’s is volgens Meta absoluut cruciaal voor het aanbieden van zijn diensten en targeted advertenties.
Brengt Biden de oplossing?
Een nieuw Privacy Shield is in de maak. Vorig jaar werd al aangekondigd door Joe Biden en Europese Commissie-president Ursula von der Leyen dat er een akkoord werd bereikt voor legale datatransfers tussen de EU en VS.
De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement wil echter niet dat de Europese Commissie nu al een besluit neemt over het voorgestelde EU-VS-pact voor gegevensbescherming.
De Commissie concludeerde namelijk dat het voorgestelde Privacy Shield geen feitelijke gelijkwaardigheid creëert wat betreft het beschermingsniveau dat wordt geboden op basis van de GDPR.
Ook privacy-activist Max Schrems heeft zich tegen het nieuwe ontwerpbesluit uitgesproken. Hij vindt dat het nieuwe Privacy Shield waarschijnlijk geen verandering brengt in de manier waarop Amerikaanse inlichtingendiensten te werk gaan.
De toekomst van Meta in Europa is een onzekere zaak. De toekomst zal moeten aantonen of het nieuwe Privacy Shield een oplossing biedt voor Meta. Ons lijkt het in ieder geval geen slecht idee om al te beginnen denken aan een toekomst zonder Instagram of Facebook in Europa.
