Meta heeft van de Ierse privacytoezichthouder DPA een boete van 1,2 miljard euro gekregen voor het overtreden van de AVG (pdf). Het is de hoogste AVG-boete die ooit is opgelegd. Aanleiding voor de boete is het sinds 16 juli 2020 uitwisselen van persoonlijke gegevens met de Verenigde Staten op basis van een modelcontract (SCC). Naast de boete moet Meta de data-uitwisselingen aanpassen zodat die AVG-compliant zijn. Meta heeft aangekondigd tegen de boete in beroep te gaan.
Nadat het Europees Hof van Justitie in 2020 het Privacy Shield-verdrag ongeldig verklaarde zijn er nieuwe afspraken nodig voor het uitwisselen van persoonsgegevens tussen de EU en de VS. Het Hof oordeelde dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet. Om toch data te kunnen uitwisselen maken Meta en andere bedrijven gebruik van een modelcontract. De DPC is nu tot oordeel gekomen dat een modelcontract de risico's op schending van fundamentele rechten en vrijheden van Europese burgers, zoals het Hof eerder oordeelde, niet wegneemt.
Oorspronkelijk was de Ierse privacytoezichthouder van plan om een veel lagere boete aan Meta op te leggen. Net als bij andere boetes van de DPA besloten de Europese privacytoezichthouders verenigd in de EDPB hier tegen op te treden en dwongen de Ierse privacytoezichthouder, gezien de ernst van de aard, om tot een veel hogere boete te komen. De DPC wordt geregeld verweten op de hand van techbedrijven te zijn, iets dat het zelf ontkent. Veel Amerikaanse techbedrijven hebben in Ierland hun Europees hoofdkantoor.
De bekende privacyactivist Max Schrems is blij met de uitspraak. Hij stelt dat de boete nog veel hoger had kunnen uitvallen, aangezien de maximale boete meer dan vier miljard euro had kunnen zijn en Meta opzettelijk de wet overtrad om tien jaar lang geld te kunnen verdienen. "Tenzij de Amerikaanse surveillancewetgeving wordt aangepast, moet Meta de eigen systemen fundamenteel herstructureren." Meta zou nu alle persoonlijke data van Europeanen niet meer naar de VS mogen versturen.
Meta stelt in een reactie dat de uitspraak geen directe impact op Facebook heeft, omdat de beslissing betrekking heeft op de implementatieperiode die tot het einde van dit jaar doorloopt. Het techbedrijf geeft aan dat het beroep zal aantekenen tegen de beslissing en via de rechter de "implementatie deadline" die de DPC heeft opgelegd uit te stellen.
Meta hoopt dat het Data Privacy Framework (DPF), waar nu de onderhandelingen tussen de EU en VS over lopen, straks kan worden gebruikt om toch weer data met de Verenigde Staten uit te wisselen. Schrems stelt dat het voorstel voor de DPF al felle kritiek van het Europees Parlement heeft gekregen en er een kans is dat het framework door het Europees Hof van Justitie ongeldig wordt verklaard, net zoals met de twee voorgangers (Privacy Shield en Safe Harbor) het geval was.
"Meta is van plan om te vertrouwen op de nieuwe overeenkomst voor data-uitwisselingen, maar dit is waarschijnlijk geen permanente oplossing", aldus Schrems. Hij schat dat er misschien een kans van tien procent is dat het DPF niet door het Europees Hof zal worden afgeschoten. "Tenzij de Amerikaans surveillancewetgeving wordt aangepast. zal Meta Europese data waarschijnlijk in de EU moeten houden."
Deze posting is gelocked. Reageren is niet meer mogelijk.