Spring naar content

De aanloop

Ondanks het forse bedrag en de actualiteit van het besluit, komt deze boete niet uit de lucht vallen. Het besluit is namelijk de uitkomst van een langslepend juridisch proces dat al startte met een klacht van privacy voorvechter Max Schrems in 2013(!). Nadat via meerdere Ierse en Europese rechtszaken tot tweemaal toe in 2015 en 2020 het systeem voor doorgifte van persoonsgegevens naar de Verenigde Staten (VS) werd vernietigd, startte de Ierse toezichthouder in augustus 2020 haar onderzoek.

In 2021 volgde een conceptbesluit van de DPC. In dit besluit was te lezen dat Meta (toen nog ‘Facebook’) zonder de noodzakelijke aanvullende waarborgen persoonsgegevens naar de VS had doorgestuurd. Omdat Meta persoonsgegevens verwerkt van Europese burgers in meerdere lidstaten, werd het conceptbesluit neergelegd bij meerdere nationale toezichthouders. Deze kwamen niet tot een unanieme beslissing en om die reden werd het vraagstuk voorgelegd aan de Europese koepel voor privacytoezichthouders (EDPB).

De EDPB nam begin 2023 een bindend advies aan en verplichtte daarmee de Ierse toezichthouder tot het opleggen van een administratieve boete. De hoogte daarvan mocht het zelf nog bepalen, maar moest ten minste tussen de 0,8% en 4% van de totale jaaromzet van Meta zijn. Met een vastgestelde omzet van ca. 108 miljard euro over het jaar 2022 heeft dat uiteindelijk geleid tot een boete van 1,2 miljard euro. Daarmee heeft de Ierse toezichthouder gekozen voor het minimale bedrag binnen het voorstel van de EDPB.

Het oordeel

Ook het inhoudelijke oordeel van de Ierse toezichthouder is geen baanbrekend nieuws. Het ligt namelijk in lijn met wat we hebben eerder al zagen bij besluiten van andere Europese toezichthouders ten aanzien van Google Analytics. Het 222 pagina’s tellende besluit van de Ierse toezichthouder kunnen we terugbrengen tot de volgende punten:

  • Amerikaanse wetgeving biedt niet dezelfde bescherming als de Algemene Verordening Gegevensbescherming (AVG).
  • De modelcontracten (SCC’s) kunnen dit verschil niet compenseren.
  • De aanvullende waarborgen van Meta zelf kunnen dit verschil niet compenseren.

In aanvulling op deze punten is nog interessant dat de toezichthouder uitgebreid is ingegaan op de ‘uitzonderingen’ die de AVG kent voor het delen van data buiten de EU. Zo is het bijvoorbeeld mogelijk om je te baseren op uitdrukkelijke toestemming van de betrokkene om persoonsgegevens door te sturen. Maar de toezichthouder benadrukte dat deze uitzonderingen strikt worden uitgelegd en dat Meta zich hier niet op kan beroepen.

Gevolgen voor de praktijk

Dit besluit en de daarbij opgelegde boete laat zien dat we als sector nog steeds niet goed weten waar we aan toe zijn als het gaat om het delen van data met partijen in de VS. Want ondanks dat het in dit geval Meta betreft, lopen Europese en Amerikaanse organisaties steeds tegen dezelfde knelfactoren aan. Daarmee lijkt de sector zelf het probleem niet op te kunnen lossen, maar zal men er op politiek niveau uit moeten komen. Meta heeft daarnaast zelf in een reactie laten weten in beroep te gaan tegen de boete.

Zoals eerder besproken, doorloopt de Europese Commissie op dit moment het proces om een nieuw adequaatheidsbesluit aan te nemen (‘Privacy Shield 2.0’), waarmee data weer compliant gedeeld kan worden met de VS. Op dit moment is de verwachting dat dit besluit er na de zomer door moet zijn, ondanks afwijzingen van het Europees Parlement en opmerkingen van de EDPB (zie hiervoor ook onze tijdlijn). Overigens is de discussie daarmee nog niet voorbij: privacy-activist Max Schrems gaf al aan ook een nieuw besluit juridisch aan te vechten.

Op dit moment zitten we als sector dan ook (nog steeds) in de afwachtende positie. Het advies daarbij is om goed na te denken over hoe noodzakelijk het is om bepaalde data te delen buiten de EU. Neem daarnaast waar mogelijk aanvullende maatregelen om de data te beschermen en zorg dat je snel kan handelen bij nieuwe ontwikkelingen. Voor eventuele vragen kun jij altijd bij Team Legal van DDMA terecht.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
AVG |

Europees Hof: IAB Europe aansprakelijk voor TCF-cookiebanners

De hoogste Europese rechter oordeelde recentelijk dat IAB Europe verwerkingsverantwoordelijke is bij de inzet van het Transparency and Consent Framework. Daarmee lijkt IAB niet onder de boete uit te kunnen…
Lees meer
DDMA |

DDMA breidt team uit met Loraine Heijstek en Lune Veldhuizen

DDMA, de branchevereniging voor data en marketing, heeft Loraine Heijstek aangesteld als partnership manager. Lune Veldhuizen gaat aan de slag als programmamanager.
Lees meer
E-mail |

Gmail en Yahoo stellen aangescherpte eisen aan bulkverzenders

Gmail en Yahoo hebben per 1 februari 2024 de regels aangescherpt voor bulkverzenders van e-mailmarketing zo blijkt uit de blogpost van Google. Op deze manier willen ze het aantal spamberichten…