1,2 miljard boete voor Meta
De Ierse privacytoezichthouder heeft Meta (het moederbedrijf van Facebook) een boete van 1,2 miljard euro opgelegd vanwege schending van de privacywet. Meta heeft onrechtmatig gegevens van Europese Facebook-gebruikers aan de Verenigde Staten doorgegeven. Belangrijker dan de boete is vooral het feit dat Meta moet stoppen met het gebruik van de veelbesproken standaardcontracten (SCC’s).
Hoogste AVG-boete ooit
De opgelegde boete is de hoogst gegeven boete ooit voor een overtreding van de AVG. De boete is afkomstig van de Ierse privacytoezichthouder (DPC) omdat het Europese hoofdkantoor van Meta in Ierland zit.
De boete heeft te maken met de controversiële “standaard contractuele clausules” (SCC’s). Wanneer persoonsgegevens worden verwerkt buiten Europa moeten er volgens de AVG passende waarborgen worden getroffen. De reden hiervoor is dat de AVG buiten Europa niet geldt, maar persoonsgegevens toch even goed beschermd moeten worden als binnen Europa.
Een van de mogelijkheden om dat te doen is via deze SCC’s, goedgekeurd door de Europese Commissie.
Nadat het Europese Hof in 2020 een punt zette achter het Privacy Shield-verdrag moesten er namelijk nieuwe afspraken gemaakt worden om persoonsgegevens door te geven aan Amerika. Hiervoor leken de SCC’s een oplossing. Via deze “modelcontracten” konden bedrijven laten zien dat ze een overeenkomst hadden met gebruikers voor het overdragen van gegevens. Op die manier was er een geldige reden om gegevens naar de VS te sturen.
DPC, de Ierse privacytoezichthouder, heeft nu dus besloten dat dit niet voldoende is.
Gedwongen tot een hogere boete
DPC wilde in eerste instantie dat de boete lager zou uitvallen. Maar de Ierse privacytoezichthouder werd gedwongen door andere privacytoezichthouders, verenigd in het Europees Comité voor Gegevensbescherming (EDPB), om een hogere boete op te leggen. Volgens het EPDB waarborgen de SCC’s de fundamentele rechten en vrijheden van Europese burgers niet goed genoeg. Het EDPB noemt de schending van Meta zeer ernstig omdat het bedrijf op grote schaal stelselmatig, voortdurend en herhaaldelijk in de fout gaat.
Max Schrems, die de rechtszaak heeft aangespannen, is blij met de uitspraak. Hij geeft aan dat (tenzij de Amerikaanse surveillancewetgeving wordt aangepast), Meta zijn systemen moet herstructureren en de persoonlijke data van Europeanen in Europa moet houden.
Het belang van deze uitspraak voor andere bedrijven
Deze uitspraak is belangrijk voor bedrijven, omdat er wordt geconcludeerd dat Meta inbreuk heeft gemaakt op de AVG. Naast de SCC’s had Meta aanvullende maatregelen moeten treffen. Die aanvullende maatregelen zijn nodig omdat Europa van mening is dat de bescherming van persoonsgegevens in de VS echt onvoldoende is.
Meta heeft tot 12 oktober om te stoppen met het onrechtmatig doorgeven van Europese persoonsgegevens aan de VS. Meta zelf geeft aan de boete onnodig te vinden. Het bedrijf vindt de mogelijkheid om gegevens over de grenzen heen te dragen van fundamenteel belang voor de werking van het internet. Meta gaat dan ook in hoger beroep tegen de boete.
De EU en de VS zijn in overleg om tot afspraken te komen die wél in overeenstemming zijn met de AVG. Meta heeft gedreigd zijn services stop te zetten in Europa als er geen goed alternatief komt voor de doorgifte van persoonsgegevens naar de VS.
Vragen over het uitwisselen van persoonsgegevens met de VS?
Wisselt jouw organisatie persoonsgegevens uit met de VS? Bijvoorbeeld omdat jullie een Amerikaanse leverancier hebben? Of een moeder-/dochter-/zusterbedrijf in Amerika met wie jullie gegevens delen?
Neem contact met ons op voor advies over een AVG-proof aanpak!