Meta krijgt Ierse AVG-boete van 1,2 miljard euro voor illegale dataoverdrachten en vooral een verbod ermee door te gaan


De Ierse privacytoezichthouder heeft Meta een AVG-boete van 1,2 miljard euro gegeven, las ik bij Tweakers. Dit vanwege het gebruik van de zogeheten ‘standaard contractuele clausules’ als grond voor de overdracht van persoonsgegevens naar buiten de EU, wat sinds het ineenstorten van het Privacy Shield de schaamlap werd waarmee privacyjuristen een en ander rechtvaardigden.

De beslissing (leeswaarschuwing: 222 pagina’s) begint ergens in de jaren negentig bij het Safe Harbor regime, waarmee je onder de Gegevensbeschermingsrichtlijn persoonsgegevens kon overbrengen naar de VS. Dat is relevant, want zowel Safe Harbor als Privacy Shield zijn gesneuveld vanwege in de kern dezelfde problematiek: de VS biedt geen adequaat beschermingsregime voor persoonsgegevens, en een individuele verwerkingsverantwoordelijke kan te weinig doen om het in haar geval toch adequaat te maken.

Dit nog los van dat niemand iets dééd om het adequaat te maken. Toen roepen “er is een Privacy Shield dus we zitten goed” niet meer mocht, werd dat meteen veranderd in “we hebben SCC’s afgesproken dus we zitten goed”. Mocht u zich afvragen wat er in vredesnaam in die dingen stond – u kunt ze hier nalezen in al hun ellenlange juridische glorie, maar het komt neer op een papieren werkelijkheid, mooie woorden over borgen van rechten en afdwingen van bevoegdheden. Ik ben vergeten wie zei dat juristen de magiërs van deze tijd zijn: schrijf een mooie clausule over hoe het moet zijn en presto, de wereld is veranderd.

De SCC zijn een mooi voorbeeld van zo’n papieren werkelijkheid. Ja, ze binden de verstrekker uit de EU en de ontvanger uit de VS juridisch en verplichten ze tot medewerking aan allerlei zaken die betrokkenen zouden kunnen wensen. Denk aan inzage of verwijdering. Maar ze werken alléén in die relaties, want andere partijen kun je niet binden als die niet mee willen werken. En wat was ook weer de reden dat Safe Harbor en Privacy Shield sneuvelden? Precies, dat Amerikaanse overheidsdiensten bij de persoonsgegevens konden. En die zijn niet aan SCC gebonden.

Anders gezegd: met enkel SCC afspreken kun je niet borgen dat de rechten van je gebruikers daadwerkelijk gehandhaafd kunnen worden, en dat is uiteindelijk wel een keihard vereiste voordat je persoonsgegevens structureel in een ander land opslaat. Want wat kan er zoal gebeuren? Ik citeer een paar voorbeelden uit de beslissing.

Section 702 FISA permits the Attorney General and the Director of National Intelligence to authorise jointly, following FISC approval, the surveillance of individuals who are not US citizens located outside the US in order to obtain “foreign intelligence information”, and provides, inter alia, the basis for the PRISM and UPSTREAM surveillance programmes.
EO 12333 allows the NSA to access data “in transit” to the US, by accessing underwater cables on the floor of the Atlantic, and to collect and retain such data before arriving in the United States and being subject there to the FISA. Activities conducted pursuant to EO 12333 are not governed by statute.

Deze bevoegdheden worden niet beperkt door het hanteren van SCC’s, of zelfs maar door de Privacy Shield-afspraken die eerder golden. Dus dan kun je SCC’en wat je wilt, deze risico’s blijven bestaan. En deze vorm van surveillance/datagraaien is eenvoudigweg in strijd met de fundamentele rechten van burgers in de EU. En dát is waarom het misgaat.

Meta had daar tegenover gesteld dat zij data alleen sterk versleuteld overbrengen vanuit Europa naar haar datacenters in de VS. Dus dan kan FISA of die executive order wel toelaten dat de NSA de onderzeekabel aftapt (het gaat immers om personen buiten de VS), maar ze kunnen er niets mee. Alleen is dat juridisch geen argument. De Europese wetgeving eist juridische borging, de mogelijkheid van een beroepsprocedure bij de rechter bijvoorbeeld. En die is er niet. Daarmee is de situatie in de VS dus fundamenteel niet in orde, en dat Meta dan denkt dat haar encryptie onkraakbaar is, is dan niet relevant. Als ze meer denken te kunnen doen, dan hebben ze dat in ieder geval niet toegelicht.

Het punt is dus wel duidelijk: het is fundamenteel mis in de VS met gegevensbescherming (joh, echt) en enkel een stapel papier produceren met modelclausules gaat daar geen sikkepit aan veranderen. Voor het toch stelselmatig exporteren van Europese persoonsgegevens wordt een boete van 1,2 miljard Euro opgelegd. En belangrijker: een verbod om ermee door te gaan. Want ik zie de “oh 1,2 miljard is niks” comments alweer langskomen:

I make an order pursuant to Article 58(2)(d) GDPR to require Meta Ireland to bring its processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the US of personal data of EEA users transferred in violation of the GDPR, within 6 (six) months following the date of notification of this Decision to Meta Ireland

Meta krijgt twaalf weken om af te bouwen, en moet binnen vier weken gedocumenteerd laten zien wat het plan is en waarom dat zal leiden tot stoppen van de export. Komt er geen plan, dan moeten ze nog steeds stoppen en dan zoeken ze zelf maar uit hoe dat moet gebeuren. Maar wel binnen die 12 weken dus.

Deze boete en dit stopbevel geldt alleen voor Meta natuurlijk, want die zijn de aangesproken partij. Maar, zo merkt men vervolgens op:

It is clear, however, that the analysis in this Decision exposes a situation whereby any internet platform falling within the definition of an electronic communications service provider subject to the FISA 702 PRISM programme may equally fall
foul of the requirements of Chapter V GDPR and the EU Charter of Fundamental Rights regarding their transfers of personal data to the USA.

Dat is dus ook weer een heel fundamentele. Zoals mijn collega Caroline al schreef, “dit besluit van de DPC duwt het nu echt onvermijdelijk in ons gezicht”: we zitten vast, er is een fundamentele mismatch tussen wat bedrijven als Meta of Google (die dit met Analytics ook al kreeg) graag willen en wat de wet zegt, en hoewel de wet traag is, komt er een punt dat je gewoon moet accepteren dat dit niet meer kan. Het vervelende is alleen, dit is niet een punt waar de wetgever iets van wil vinden, en de rechter kan weinig anders dan bevestigen wat in deze beslissing staat. Dat de maatschappij dan wellicht vastloopt, is een implementatiedetail.

Arnoud

 



https://blog.iusmentis.com/2023/05/26/meta-krijgt-ierse-avg-boete-van-12-miljard-euro-voor-illegale-dataoverdrachten-en-vooral-een-verbod-ermee-door-te-gaan/