Zoals gemeld door de IAPP, suggereren twee openbaar beschikbare documenten van Meta dat de Ierse gegevensbeschermingsautoriteit (DPC) mogelijk binnenkort de doorgifte van gegevens tussen de EU en de VS voor het Facebook-platform opschort en Meta een boete oplegt. Zoals de Irish Times meldt, zou de beslissing al op 12 mei kunnen vallen.
Dit zou kunnen leiden tot een tijdelijke black-out van Facebook in Europa, afhankelijk van hoe de zaken aflopen. Deze geruchtmakende zaak zal zeker een precedent scheppen en het digitale leven van miljoenen mensen beïnvloeden.
- Wat zeggen de documenten?
- Het verhaal tot nu toe
- De juridische kwesties
- Wat gebeurt er nu?
- Wat betekent het besluit voor de doorgifte van gegevens?
- Slotopmerkingen
Laten we erin duiken!
Wat zeggen de documenten?
De twee documenten (een winstverslag en een formulier ingediend bij de US Security and Exchange Commission) zijn lang en behandelen veel verschillende zaken, dus hier zijn de interessante stukken.
Op pagina 3 van het kwartaalverslag van Meta staat:
We verwachten dat de Irish Data Protection Commission (IDPC) in mei een besluit zal nemen (...), inclusief een opschortingsbevel (...) en een boete. Ons lopend overleg met beleidsmakers aan beide zijden van de Atlantische Oceaan blijft erop wijzen dat het voorgestelde nieuwe EU-VS-kader voor gegevensprivacy volledig ten uitvoer zal zijn gelegd vóór de uiterste termijn voor de opschorting van dergelijke doorgiften, maar we kunnen niet uitsluiten dat het niet op tijd zal zijn voltooid.
Het Q-10 formulier bevat meer details op blz. 54:
Zodra het definitieve besluit is genomen, kunnen wij in beroep gaan en om opschorting verzoeken. Een bevel tot opschorting van de overdracht zou na verloop van tijd van kracht worden, tenzij vóór die tijd een nieuw kader voor trans-Atlantische gegevensoverdracht wordt vastgesteld of het IDPC het bevel tot opschorting herziet wegens een materiële wijziging in de Amerikaanse wetgeving.
Wij achten de documenten betrouwbaar. Het is niet ongebruikelijk dat de partijen bij een procedure voorkennis hebben over de uitkomst voordat een besluit wordt gepubliceerd. Dit geldt vooral voor een techgigant met veel connecties en lobbymogelijkheden.
Het verhaal tot nu toe
Het verhaal is inmiddels lang, dus pak een boterham (of sla over - we zullen het je niet kwalijk nemen).
Het begon allemaal in 2013 toen NSA-klokkenluider Edward Snowden vertrouwelijke bestanden lekte over de werking van het agentschap, waaronder de grootschalige elektronische surveillanceprogramma's Upstream en Prism.
De onthullingen van Snowden brachten Max Schrems (ja, de man van de Schrems I en II arresten) ertoe een klacht in te dienen bij de Oostenrijkse gegevensbeschermingsautoriteit tegen de gegevensoverdracht van Facebook naar de VS. Hij stelde dat door de massale schaal en het ongedifferentieerde karakter van de elektronische bewaking door de Amerikaanse overheid, de vertrouwelijkheid van de persoonsgegevens niet kon worden gewaarborgd door de doorgifte van gegevens aan Facebook in de VS.
De Oostenrijkse autoriteit stuurde de klacht door naar haar Ierse tegenhanger, aangezien Facebook zijn belangrijkste Europese dochteronderneming in Ierland heeft. Dit was het begin van een eindeloze juridische strijd waarin Facebook een definitieve beslissing op alle mogelijke manieren probeerde uit te stellen. Tien jaar lang ging de zaak heen en weer tussen het DPC, de Ierse rechtbanken en het Hof van Justitie van de EU.
De uitspraken van het Hof van Justitie hadden een zeer belangrijke impact op de Europese privacywetgeving. In 2015 maakte het Schrems I-arrest de Safe Harbor-overeenkomst, die de doorgifte van gegevens tussen de EU en de VS sterk vereenvoudigde, ongeldig. Een nieuwe overeenkomst, bekend als het Privacy Shield, verving de Safe Harbor, maar deze werd opnieuw ongeldig verklaard door het Hof in het Schrems II-arrest van 2020.
Een decennium en twee baanbrekende uitspraken later stelde het DPC uiteindelijk een besluit tot opschorting van de gegevensoverdrachten op en legde het voor aan het Europees Comité voor gegevensbescherming (de EU-instelling waar alle gegevensbeschermingsautoriteiten zetelen). De EDPB heeft de zaak vorige maand opgelost met een nog niet gepubliceerde beslissing. De beslissing van de EDPB is bindend voor de DPC, maar zij heeft nog een zekere mate van autonomie, met inbegrip van de kwantificering van de boetes.
De juridische kwesties
We hebben nog geen beslissing, maar in het licht van het Schrems II-arrest en recente beslissingen tegen Google Analytics is het gemakkelijk te raden welke juridische kwesties er op het spel staan.
Wanneer een Europese gebruiker op Facebook surft, worden zijn gegevens verwerkt door verschillende entiteiten die met Meta verbonden zijn. De belangrijkste zijn Meta Platforms en haar belangrijkste Europese dochteronderneming, Meta Platforms Ireland. Omdat Meta Platforms zelf het grootste deel van de gegevensverwerking uitvoert, vereist Facebook een gegevensoverdracht naar de VS.
De doorgifte van gegevens naar de VS is problematisch sinds het Schrems II-arrest. Bedrijven die gegevens doorgeven aan de VS (en andere "onveilige" landen) moeten voldoende maatregelen nemen om persoonsgegevens te beschermen tegen overheidstoezicht. Deze maatregelen moeten worden toegepast bovenop mechanismen voor gegevensoverdracht zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften, die voor de meeste niet-EU-landen een standaardvereiste zijn.
Meta vertrouwt op standaardcontractbepalingen voor de doorgifte van gegevens, maar het is niet duidelijk of het bedrijf voldoende aanvullende waarborgen heeft ingevoerd om persoonsgegevens vertrouwelijk te houden. Zo niet, dan zijn de gegevensoverdrachten van Meta Ireland naar het moederbedrijf in strijd met de GDPR.
En naar alle waarschijnlijkheid is dat niet gebeurd. Dit is precies hetzelfde probleem waarmee Google wordt geconfronteerd in een gecoördineerde reeks klachten die zijn ingediend door noyb (een NGO die door Schrems zelf is opgericht) en de reden waarom vijf Europese gegevensbeschermingsautoriteiten Google Analytics praktisch hebben verboden in hun respectieve landen. Er is geen gemakkelijke oplossing, zelfs niet voor een bedrijf zo groot als Google.
Om duidelijk te zijn, er zijn technische maatregelen die gegevensoverdrachten veiliger kunnen maken, maar die zijn alleen praktisch voor bepaalde soorten diensten (we hebben er hier enkele besproken). In feite zijn er drie jaar verstreken sinds de klachten van noyb, en Google heeft nog geen oplossing gevonden. Onze inschatting is dat Meta dat ook niet heeft gedaan. Als het bedrijf nog kaarten in zijn mouw had, zou het die nu al uitgespeeld hebben in plaats van een black-out van Facebook te riskeren.
Wat gebeurt er nu?
Het besluit betekent niet het einde van Facebook in Europa, maar het kan wel leiden tot een tijdelijke black-out van de dienst in de EU en de EER, afhankelijk van twee factoren.
De eerste factor is tijd. De EU en de VS hebben een akkoord bereikt over het Trans Atlantic Data Privacy Framework - weer een ander kader voor gegevensoverdracht ter vervanging van het Privacy Shield. Dit kader zal worden opgenomen in het rechtskader van de EU wanneer de Europese Commissie een adequaatheidsbesluit neemt - een handeling die in wezen een niet-EU-land "groen licht" geeft als veilige bestemming en een probleemloze gegevensoverdracht mogelijk maakt.
(Terzijde: het nieuwe kader zal zeker worden aangevochten door noyb. We kijken naar een Schrems III-arrest en het is moeilijk te voorspellen hoe dit zal uitpakken. Maar dit is nog geen urgente kwestie voor Meta).
Er is al een adequaatheidsbesluit opgesteld dat momenteel door de lidstaten moet worden goedgekeurd. Het zal waarschijnlijk worden goedgekeurd, maar het is niet duidelijk wanneer dat zal gebeuren.
Volgens de documenten verwacht Meta dat het schorsingsbesluit van de DPC vergezeld zal gaan van een termijn. Daarom hangt de continuïteit van de dienstverlening voor Facebook af van de timing van het besluit inzake adequaatheid. Als het besluit inzake adequaatheid vóór de deadline wordt genomen, zal Meta zich op het besluit kunnen baseren voor het doorgeven van gegevens en zal de dienst blijven leveren. Maar als het besluit te laat komt, kan Meta gedwongen zijn de dienst in de tussentijd op te schorten. Meta is enigszins optimistisch dat de beslissing op tijd komt, maar niet helemaal zeker.
De tweede factor die meespeelt is de uitkomst van Meta's toekomstige juridische acties. Meta is van plan de beslissing aan te vechten en een opschorting te vragen - vermoedelijk tot de stemming over het besluit inzake adequaatheid binnen de Europese Commissie. Een opschorting kan Meta de tijd geven om Facebook aan Europese gebruikers te blijven aanbieden totdat de gegevensoverdrachten op grond van het besluit inzake adequaatheid kunnen worden hervat.
Wat betekent het besluit voor de doorgifte van gegevens?
Natuurlijk heeft deze zaak gevolgen die veel verder gaan dan Facebook. Veel Amerikaanse dienstverleners begeven zich met hun gegevensoverdrachten op glad ijs. Gezien de betrokkenheid van de EDPB zou deze zaak een zeer belangrijk precedent kunnen scheppen, vooral als het nieuwe kader voor gegevensoverdracht Schrems III niet overleeft.
Veel Amerikaanse bedrijven, waaronder techgiganten als Google en Apple, hebben hun Europese dochterondernemingen in Ierland. Vanuit dit oogpunt zou een Iers precedent bijzonder storend kunnen zijn voor de doorgifte van gegevens tussen de EU en de VS.
Anderzijds heeft de DPC de reputatie niet erg proactief te zijn. Het duurde immers tien jaar, twee arresten van het Hof van Justitie en directe betrokkenheid van de EDPB voordat de zaak tot een uitspraak kwam. De EDPB zal dus waarschijnlijk niet meteen morgen hard optreden tegen gegevensoverdrachten.
Slotopmerkingen
Het heeft even geduurd, maar we beginnen eindelijk een energieke handhaving van de GDPR te zien. Vijf gegevensbeschermingsautoriteiten hebben al een standpunt ingenomen tegen Google Analytics, en Facebook zal waarschijnlijk de volgende zijn. Meta kreeg onlangs van de DPC een boete van 390 miljoen euro voor het onrechtmatig targeten van gebruikers met gepersonaliseerde reclame en kan om dezelfde redenen een hoge schadevergoeding betalen in een class action.
Waarom maken wij ons zorgen?
Privacy is meer dan alleen wetten, regels en boetes. Privacy is een mensenrecht. Bij Simple Analytics geloven we dat het internet een plek moet zijn die vriendelijk is voor websitebezoekers en privacy respecteert. Daarom hebben we een alternatief voor Google Analytics gebouwd dat geen cookies of persoonlijke gegevens gebruikt. Als dit resoneert met u, voel je vrij om ons te proberen!