Een boete van 1,2 miljard euro voor Meta, het moederbedrijf van Facebook, is het resultaat van een jarenlange strijd tegen onrechtmatige doorgiften van persoonsgegevens naar de Verenigde Staten. Het betreft de hoogste privacy-boete ooit. De boete gaat naar de Ierse staat, terwijl de Ierse privacytoezichthouder eigenlijk nooit bereid was om Meta, dat haar Europese hoofdkantoor in Ierland heeft staan, met een boete te bestraffen. Voor EU-burgers buiten Ierland levert de boete voor schendingen die in het verleden begaan zijn op zichzelf dus nog niets op. Dat wordt anders wanneer massaclaims in verband met privacy-schendingen als deze ook succesvol zijn.
Achtergrond
Binnen de EER kunnen persoonsgegevens probleemloos doorgegeven worden naar andere landen. Een doorgifte van Utrecht naar Groningen wordt hetzelfde behandeld als een doorgifte van Helsinki naar Madrid. Voor doorgiftes naar landen buiten de EER gelden echter aanvullende eisen. Aan deze eisen kan onder andere worden voldaan als de Europese Commissie heeft besloten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in het derde land, een passend beschermingsniveau waarborgen.
Dergelijke besluiten van de Europese Commissie ten aanzien van de VS (de Safe Harbor-regeling en het Privacy Shield) zijn de afgelopen jaren echter onderuit gehaald door het HvJ EU in twee zaken aangespannen door Max Schrems (“Schrems I” en "Schrems II"). Het grote probleem vormt de vrijwel onbeperkte toegang van Amerikaanse veiligheidsdiensten tot data die zich in de VS bevindt en het gebrek aan mogelijkheden om de toegang juridisch te laten toetsen. Uit Schrems II volgde bovendien dat ook een andere optie om persoonsgegevens door te kunnen geven (zogenaamde Standard Contractual Clauses) onvoldoende bescherming biedt in het licht van wettelijke bevoegdheden van Amerikaanse autoriteiten. Dit stelt alle Amerikaanse tech-bedrijven, maar ook Europese bedrijven die gebruik maken van Amerikaanse tech-bedrijven (in ieder geval als zij data in de Verenigde Staten beheren) voor grote uitdagingen.
De boete
Na Schrems II, heeft Meta haar doorgiftes naar de VS trachten te baseren op een update van de Standard Contractual Clauses in combinatie met aanvullende maatregelen. De Ierse privacytoezichthouder kwam begin 2022 reeds met een concept-oordeel dat nog goedkeuring behoefde van andere Europese privacy-autoriteiten. Daarin werd vastgesteld dat de doorgifte door Meta onrechtmatig was; het oordeel bevatte echter geen boete. Na onderlinge discussie tussen de toezichthouders heeft het Europese Comité voor de Gegevensbescherming (beter bekend als de “European Data Protection Board” (EDPB)) besloten dat wel een boete diende te worden opgelegd, welk bindende besluit vervolgens door de Ierse privacytoezichthouder diende te worden overgenomen.
Nieuwe oplossing?
Sinds Schrems II van juli 2020 is de niet strikt-noodzakelijke doorgifte van persoonsgegevens naar de VS dus uiterst problematisch. Om die reden wordt hard gewerkt aan een nieuwe oplossing in de vorm van een nieuw Privacy Shield met extra waarborgen. Dit Privacy Shield wordt naar verwachting ergens in 2023 van kracht. Of hiermee het panacee definitief is gevonden, is echter maar de vraag. De EDPB heeft een vrij kritische opinie gepubliceerd en Max Schrems heeft reeds laten weten ook dit Privacy Shield ter discussie te gaan stellen.
Mogelijk is de enige duurzame oplossing dus dat alleen verwerkingen worden opgeslagen in de VS als dit strikt noodzakelijk is en dat alle overige data van EU-burgers op servers in Europa blijven, in het geval van Facebook dus afgescheiden van de andere klantdata. Het dreigement van Meta dat een uitspraak als deze tot gevolg zou kunnen hebben dat ze Europa moet gaan verlaten wordt niet erg serieus genomen nu Europa een belangrijke afzetmarkt is voor Meta.
Schadevergoeding?
Al met al vinden vele grootschalige doorgiftes naar de Verenigde Staten dus al jaren onrechtmatig plaats. De aan Meta opgelegde boete zorgt er mogelijk voor dat deze privacy-schending in de toekomst eindigt, maar de EU burgers staan (in ieder geval als ze niet in Ierland wonen, daar wordt tenminste de staatskas nog gespekt), vooralsnog met lege handen ten aanzien van de schending van hun rechten uit het verleden. Ook gaan andere tech-giganten tegen wie de privacytoezichthouders geen handhavingsactie zijn gestart vooralsnog vrijuit.
De stevige uitspraak zal echter zonder twijfel worden gebruikt als basis voor massaclaims. Een dergelijke claim tegen Facebook is in Nederland reeds in voorbereiding, andere zullen volgen, mede dankzij de Wet afwikkeling massaschade in collectieve actie (WAMCA), die Nederland uitermate geschikt maakt voor dergelijke procedures. De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, heeft al eens gewezen op het belang van schadevergoeding naast het instrument van de boetes. Volgens hem dient smartengeld de regel te zijn niet de uitzondering. Mede gezien het feit dat het HvJ EU op 4 mei jl. heeft bepaald dat er geen ondergrens mag worden gesteld aan geleden immateriële schade, gaan we een interessante toekomst tegemoet op dit rechtsgebied.
Een boete van 1,2 miljard euro voor Meta, het moederbedrijf van Facebook, is het resultaat van een jarenlange strijd tegen onrechtmatige doorgiften van persoonsgegevens naar de Verenigde Staten. Het betreft de hoogste privacy-boete ooit. De boete gaat naar de Ierse staat, terwijl de Ierse privacytoezichthouder eigenlijk nooit bereid was om Meta, dat haar Europese hoofdkantoor in Ierland heeft staan, met een boete te bestraffen. Voor EU-burgers buiten Ierland levert de boete voor schendingen die in het verleden begaan zijn op zichzelf dus nog niets op. Dat wordt anders wanneer massaclaims in verband met privacy-schendingen als deze ook succesvol zijn.
Achtergrond
Binnen de EER kunnen persoonsgegevens probleemloos doorgegeven worden naar andere landen. Een doorgifte van Utrecht naar Groningen wordt hetzelfde behandeld als een doorgifte van Helsinki naar Madrid. Voor doorgiftes naar landen buiten de EER gelden echter aanvullende eisen. Aan deze eisen kan onder andere worden voldaan als de Europese Commissie heeft besloten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in het derde land, een passend beschermingsniveau waarborgen.
Dergelijke besluiten van de Europese Commissie ten aanzien van de VS (de Safe Harbor-regeling en het Privacy Shield) zijn de afgelopen jaren echter onderuit gehaald door het HvJ EU in twee zaken aangespannen door Max Schrems (“Schrems I” en "Schrems II"). Het grote probleem vormt de vrijwel onbeperkte toegang van Amerikaanse veiligheidsdiensten tot data die zich in de VS bevindt en het gebrek aan mogelijkheden om de toegang juridisch te laten toetsen. Uit Schrems II volgde bovendien dat ook een andere optie om persoonsgegevens door te kunnen geven (zogenaamde Standard Contractual Clauses) onvoldoende bescherming biedt in het licht van wettelijke bevoegdheden van Amerikaanse autoriteiten. Dit stelt alle Amerikaanse tech-bedrijven, maar ook Europese bedrijven die gebruik maken van Amerikaanse tech-bedrijven (in ieder geval als zij data in de Verenigde Staten beheren) voor grote uitdagingen.
De boete
Na Schrems II, heeft Meta haar doorgiftes naar de VS trachten te baseren op een update van de Standard Contractual Clauses in combinatie met aanvullende maatregelen. De Ierse privacytoezichthouder kwam begin 2022 reeds met een concept-oordeel dat nog goedkeuring behoefde van andere Europese privacy-autoriteiten. Daarin werd vastgesteld dat de doorgifte door Meta onrechtmatig was; het oordeel bevatte echter geen boete. Na onderlinge discussie tussen de toezichthouders heeft het Europese Comité voor de Gegevensbescherming (beter bekend als de “European Data Protection Board” (EDPB)) besloten dat wel een boete diende te worden opgelegd, welk bindende besluit vervolgens door de Ierse privacytoezichthouder diende te worden overgenomen.
Nieuwe oplossing?
Sinds Schrems II van juli 2020 is de niet strikt-noodzakelijke doorgifte van persoonsgegevens naar de VS dus uiterst problematisch. Om die reden wordt hard gewerkt aan een nieuwe oplossing in de vorm van een nieuw Privacy Shield met extra waarborgen. Dit Privacy Shield wordt naar verwachting ergens in 2023 van kracht. Of hiermee het panacee definitief is gevonden, is echter maar de vraag. De EDPB heeft een vrij kritische opinie gepubliceerd en Max Schrems heeft reeds laten weten ook dit Privacy Shield ter discussie te gaan stellen.
Mogelijk is de enige duurzame oplossing dus dat alleen verwerkingen worden opgeslagen in de VS als dit strikt noodzakelijk is en dat alle overige data van EU-burgers op servers in Europa blijven, in het geval van Facebook dus afgescheiden van de andere klantdata. Het dreigement van Meta dat een uitspraak als deze tot gevolg zou kunnen hebben dat ze Europa moet gaan verlaten wordt niet erg serieus genomen nu Europa een belangrijke afzetmarkt is voor Meta.
Schadevergoeding?
Al met al vinden vele grootschalige doorgiftes naar de Verenigde Staten dus al jaren onrechtmatig plaats. De aan Meta opgelegde boete zorgt er mogelijk voor dat deze privacy-schending in de toekomst eindigt, maar de EU burgers staan (in ieder geval als ze niet in Ierland wonen, daar wordt tenminste de staatskas nog gespekt), vooralsnog met lege handen ten aanzien van de schending van hun rechten uit het verleden. Ook gaan andere tech-giganten tegen wie de privacytoezichthouders geen handhavingsactie zijn gestart vooralsnog vrijuit.
De stevige uitspraak zal echter zonder twijfel worden gebruikt als basis voor massaclaims. Een dergelijke claim tegen Facebook is in Nederland reeds in voorbereiding, andere zullen volgen, mede dankzij de Wet afwikkeling massaschade in collectieve actie (WAMCA), die Nederland uitermate geschikt maakt voor dergelijke procedures. De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, heeft al eens gewezen op het belang van schadevergoeding naast het instrument van de boetes. Volgens hem dient smartengeld de regel te zijn niet de uitzondering. Mede gezien het feit dat het HvJ EU op 4 mei jl. heeft bepaald dat er geen ondergrens mag worden gesteld aan geleden immateriële schade, gaan we een interessante toekomst tegemoet op dit rechtsgebied.