Meta heeft een dikke vette boete gekregen voor onrechtmatige doorgifte naar de Verenigde Staten (VS). Dit blog vat de 222 pagina's van de Ierse toezichthouder samen en is geschreven voor mensen met wat voorkennis. Mis je die nou, kijk dan even naar dit blog.
Het komt ruwweg erop neer dat als je van de Europese Economische Ruimte (EER) naar een jurisdictie daarbuiten persoonsgegevens (voor het gemak hierna aangemerkt als "data") "doorgeeft", dat land ofwel adequaat bevonden moet zijn door de Europese Commissie (artikel 45 AVG), ofwel er passende waarborgen (artikel 46 (2) AVG) moeten zijn getroffen (zoals het afsluiten van standaard contractbepalingen, eerder bekend als SCCs) ofwel een afwijking op moet gaan (artikel 49 AVG).
Terug naar het boetebesluit van de Ierse toezichthouder, de Data Protection Commissioner (DPC). Het ziet enerzijds toe op of Meta rechtmatig de data van Europese gebruikers van Meta’s producten en diensten doorgeeft. Anderzijds gaat de DPC na welke correctieve maatregelen de DPC kan nemen als het zo is dat Meta onrechtmatig handelt.
Die laatste weten we het antwoord inmiddels op, dat is een boete geworden van 1.2 miljard euro. BOEM. Privacy is in een klap sexy geworden. Of misschien dat niet, maar wel duur. De redenering van de DPC waarom die doorgifte onrechtmatig is, gaan we hieronder op in.
In alle eerlijkheid, dit zal voor de meeste juristen geen verassend verhaal zijn. Ik ga dus voor een korte, en een lange versie.
Onrechtmatige doorgifte door Meta, lang verhaal kort
Meta Ierland heeft SCCs afgesloten met Meta VS als passende waarborg voor data doorgifte. Die SCCs zeggen: ja leuk en aardig al deze regels, maar je moet ook even checken of je die regels wel kan naleven in het land waar de data naartoe gaan. Zo niet, neem dan maatregelen om te zorgen dat je het wel kan. Als het dan nog steeds niet werkt, kappen. De DPC zegt: maakt niet uit welke maatregelen je nam Meta, niks voorkomt de mogelijkheid dat de overheid van de VS gebruik maakt van de te grote bevoegdheid om data van Europese burgers te onderscheppen. Dat is niet in lijn met Europees recht. De afwijkingen van artikel 49 AVG gaan ook niet op, want die moeten we strict interpreteren en dat risico dat we lopen als we data naar de VS sturen is niet in lijn met de essentie van grondrechten uit ons Handvest. Best wel grote inbreuken allemaal, dus de DPC besluit correctieve maatregelen te nemen.
Onrechtmatige doorgifte door Meta, kort verhaal lang
Meta Ierland heeft voor het doorgeven van persoonsgegevens naar de VS de SCCs afgesloten met haar entiteit in de VS.
Het onderzoek en dit boetebesluit ziet alleen op een bepaald deel van Meta’s diensten. Het gaat om de diensten aangemerkt als “Facebook Service” in de “Response to the PDD” door Meta. Helaas, kan ik dit document niet vinden – dus mocht iemand dit wel hebben, heel graag. Op welke diensten deze beslissing nou ziet zou een kernonderdeel moeten zijn dat toch goed uitgelicht moet worden maar dat lijkt niet specifiek benoemd (mocht dat wel zo zijn hoor ik het graag, met 222 pagina’s sla je wel eens wat over). Goed, dan gaan we verder met wat de DPC – onder druk van de European Data Protection Board en de andere toezichthouders - allemaal vindt.
Kern
De doorgifte door Meta garandeert geen niveau van bescherming voor betrokkenen die essentieel gezien equivalent is aan de bescherming die Europees recht ons biedt. Verder kan Meta ook niet op de uitzonderingen van artikel 49 AVG leunen. Dan zijn de opties voor passende waarborgen voor doorgifte buiten de EU op, en is de doorgifte onrechtmatig.
De DPC roept Meta op om rechtmatig te gaan handelen, en gooit daarvoor een dikke boete neer.
Maar waarom is het gebruik van de SCCs niet voldoende?
Meta faalt in te demonstreren dat de Amerikaanse wet geen dikke inbreuk zal maken op Europees recht door bulkinterceptie van data
Voordat Meta de SCCs afsloot, ondernam zij een Transfer Impact Assessment om te voldoen aan clause 14 van de SCCs. Daarbij wordt gekeken of er daadwerkelijk voldaan kan worden aan alles wat er neergelegd wordt in de SCCs, in ogenschouw nemende de nationale wet- en regelgeving (en praktijken) van het derde land waar de data heen wordt gebonjourd. Deze neemt de DPC grondig onder handen ent rekt uit die documenten, en andere, meerdere conclusies.
Meta moet voldoen aan Amerikaans recht
Amerikaans recht biedt de mogelijkheid voor hun overheid om grootschalig data op te vangen van Europese burgers, dit is natuurlijk al vrij lang een probleem (zie dit blog voor verdere uitleg). Het probleem is vooral geweest dat de Europese burgers niet dezelfde rechten wordt toegekend als Amerikaanse burgers, zo hebben wij geen ‘’right to redres’’ (en nog wat andere fundamentele bezwaren).
De DPC concludeert dat Meta voldoet, en moet voldoen aan dat recht van de VS. Dat betekent dat Meta data zou kunnen delen met ‘’regulators, law enforcement or others’’ in reactie op een verzoek, in het geval dat verzoek in lijn is met VS-recht. Alleen het afsluiten van de SCCs hoeft dus niet te betekenen dat je rechtmatige doorgifte kan verzekeren. Sterker nog, het Hof van Justitie van de EU gaf aan dat dit zeker twijfelachtig is als het nationale recht van het ontvangende partij de autoriteiten toestaat om de rechten van betrokkene over wie de data gaat te belemmeren. Wat dus precies het probleem is met de VS.
Kan Amerikaans recht zelf, de SCCs of andere maatregelen het risico van interceptie door de VS verkleinen of wegnemen?
Gezien het bovenstaande gaat de DPC erop in of het recht van de VS de equivalente waarborgen biedt als de EU voor betrokkenen, en vervolgens – als dat niet zo is - of de SCCs of enige andere maatregelen dat zouden kunnen compenseren.
De jurisprudentie volgend (Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems EU:C:2020:559) stelt de DPC vast dat het recht in de VS niet essentieel equivalent is aan de bescherming geboden in de EU. Section 702 FISA (problematische Amerikaanse wetgeving) kan ervoor zorgen dat er zonder toezicht van de rechter toegang kan zijn tot data zonder wetenschap van de betrokkene. Het afsluiten van de SCCs kan dit niet tegenhouden. Daarom zorgen de SCCs in ieder geval niet voor voldoende waarborgen om de risico’s van het VS recht te verkleinen (§7.174). Voor de geïnteresseerden, vanaf §7.175 gaat de DPC verder met de analyse of aanvullende maatregelen dit risico wel kunnen verkleinen.
De organisatorische en juridische maatregelen vormen geen passende waarborgen voor het erkende risico, maar bij encryptie ziet de DPC hoop. Het zou zo kunnen zijn dat versleuteling van data in transit (data die onderweg is) passende waarborgen biedt in de context van section 702 FISA of de Executive Order 12333. Omdat Meta Ierland en VS dit niet hebben ‘’gedemonstreerd’’, oordeelt de DPC dat geen van de technische maatregelen passende waarborgen vormen tegen het risico van (voor de EU) onrechtmatige toegang tot de gegevens doorgegeven naar de VS door autoriteiten in de VS.
De DPC benadrukt dat Meta niet in staat is om te demonstreren dat er geen inbreuk bestaat met het EU recht. Die inbreuk bestaat, aldus de DPC, en Meta heeft er geen remedie voor.
Lang verhaal kort, Meta maakt inbreuk op artikel 46(1) AVG door data door te geven van Europese gebruikers aan de VS.
Kan Meta zich niet beroepen op de afwijkingen in artikel 49 AVG?
Om die doorgifte een rechtmatige basis te geven, blijven alleen nog de afwijkingen voor specifieke situaties van artikel 49 AVG over. Hoewel dit in het Nederlands aangemerkt is met “afwijkingen voor specifieke situaties”, is dat in het Engels “derogations”. Hoewel de Nederlandse naam van het artikel al weggeeft hoe we ermee om moeten gaan, is dat minder in het Engels – dus daar gaan we.
De DPC legt uit:
- de toepassing daarvan is nauw en strict;
- de afwijking mag niet de regel worden en;
- de afwijking moet in lijn zijn met de essentie van artikel 52(1) Handvest van de EU.
Een beperking van een grondrecht moet, lang verhaal kort, de essentie van het grondrecht respecteren. Het Hof oordeelde al eerder dat de surveillance door de VS totaal niet de essentie van artikel 47 van het Handvest (recht op eerlijke behandeling van zijn/haar zaak) respecteert. Dat kan de DPC uiteraard niet negeren, dus die moet artikel 49 AVG zo toepassen dat afwijkingen in strijd met de essentie van een grondrecht zijn uitgesloten.
De afwijking ‘’contractuele noodzakelijkheid’’ kan ook niet opgaan bij het risico op systematische bulk interceptie van data, mede door wat ik hiervoor al benoemde. Dat probleem met de essentie van grondrechten. Goed, lang verhaal weer kort, dat artikel 49 ain’t gonna fly (§8.106).
Door Meta’s inbreuk ziet de DPC zich genoodzaakt correctieve maatregelen te nemen.
Noot van de auteur
Omdat het boetebesluit 222 pagina’s is, is deze samenvatting gebaseerd het scannen van de belangrijkste delen. Wat ik niet heb kunnen vinden is wat we wél kunnen doen. Niet zo gek, want het is een boetebesluit over een inbreuk. Elke organisatie die steevast persoonsgegevens deelt met een entiteit in de Verenigde Staten zit al langer in een impasse, maar dit besluit van de DPC duwt het nu echt onvermijdelijk in ons gezicht. We wisten al dat er geen adequaatheidsbesluit is voor de VS, we wisten al dat de SCCs niet alles dekken, dat er maatregelen moeten worden genomen, maar dat zelfs Google dat nu niet goed doet (aldus de Oostenrijkse privacytoezichthouder). Maar wat moeten we dan wel doen? Het enige dat we kunnen doen, is (huilen met de pet op – nee, nee) ons best. Zie je risico’s, neem beperkende maatregelen (minder data gebruiken, of alleen analytische), organisatorische en technische, en kijk naar het praktisch risico dat overblijft: is dat acceptabel?
En in die tussentijd, wachten we toch ook op een antwoord van zowel de wetgevers als toezichthouders. Deze strijd kan niet alleen gevoerd worden door ons plebs, maar moet ook van boven komen.
