Het Amerikaanse technologiebedrijf Meta heeft Een Boete Van 1,2 miljard euro gekregen van de Ierse toezichthouder. Het moederbedrijf van Facebook, Instagram en WhatsApp krijgt deze financiële sanctie voor het illegaal doorsturen van persoonsgegevens van Europese gebruikers naar de Verenigde Staten. Het is de hoogste boete die ooit is opgelegd in Europa.
De European Data Protection Board (EDPB) heeft het boetebesluit (pdf), dat 222 pagina’s telt, vandaag openbaar gemaakt.
DPC start onderzoek naar uitwisselingsbeleid Meta
De boete is uitgedeeld door de Data Protection Commission (DPC). De Ierse toezichthouder startte in augustus 2020 een onderzoek naar de data-uitwisselingspraktijken van Meta. De privacywaakhond eiste dat het techbedrijf niet langer persoonsgegevens van Europese gebruikers doorstuurde naar het hoofdkantoor in de VS.
Aanleiding hiervoor was dat het Europees Hof van Justitie een streep door het Privacy Shield had gezet. Volgens de rechter was het Privacy Shield onvoldoende om de privacy van Europeanen te garanderen. Bedrijven kregen de opdracht om afspraken over de uitwisseling van persoonsgegevens vast te leggen in Standard Contractual Clauses (SCC’s) of modelcontracten. In praktijk gebeurde dat slechts mondjesmaat.
DPC mag onderzoek naar Meta voortzetten
Meta tekende bezwaar aan tegen de uitspraak van het DPC en pleitte voor “duidelijk, internationale regels” om trans-Atlantische datastromen te beschermen. “Een gebrek aan veilige en juridisch verantwoorde internationale gegevensuitwisseling, zou schade toebrengen aan de economie en de groei van data-gedreven bedrijven belemmeren (…) Zowel grote als kleine bedrijven in allerlei sectoren voelen deze impact. De gevolgen reiken verder dan de zakenwereld en kunnen zelfs cruciale publieksdiensten, zoals zorg en onderwijs, beïnvloeden”, zo betoogde het Amerikaanse techbedrijf.
Het Ierse Hooggerechtshof ging niet mee in het verweer van Meta. Het Hof bepaalde dat de Ierse toezichthouder het onderzoek naar data-uitwisseling van persoonsgegevens van Europese gebruikers mag voortzetten. Meta wist de rechter niet te overtuigen dat het onderzoek van de DPC ‘verwoestende en onomkeerbare schade’ zou toebrengen.
DPC klopt aan bij EDPB voor advies
Het onderzoek naar de data-uitwisselingspraktijken van Meta werd op vrijdag 12 mei definitief afgerond door de DPC. De Ierse privacywaakhond kwam tot de conclusie dat Meta artikel 46 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) heeft geschonden. Daarin staat dat persoonsgegevens alleen doorgegeven mogen worden naar landen of organisaties buiten Europa als er ‘passende waarborgen’ zijn voor de betrokkenen.
De DPC zegt dat de modelcontracten die Meta gebruikte “geen oplossing boden voor de risico’s voor de fundamentele rechten en vrijheden van de betrokken” die het Hof had vastgesteld. Onder deze omstandigheden moet de gegevensuitwisseling worden opgeschort.
De Europese toezichthouders slaagden er niet in om tot een gezamenlijk standpunt te komen over sancties tegen Meta. Daarom werd de EDPB om advies gevraagd. De koepelorganisatie oordeelde dat een boete van 1,2 miljard euro gepast was. Daarnaast moet Meta de uitwisseling van persoonsgegevens van Europese gebruikers aanpassen zodat deze overeenkomt met de bepalingen in hoofdstuk V van de AVG. Het techbedrijf krijgt hiervoor vijf maanden de tijd.
EDPB: ‘Boete is stevig, maar noodzakelijk’
Andrea Jelinek, voorzitter van de EDPB, zegt in een reactie dat de boete stevig maar noodzakelijk is. “De EDPB heeft vastgesteld dat de overtreding van Meta zeer ernstig is, omdat het gaat om uitwisseling van gegevens die systematisch, repetitief en continu zijn. Facebook heeft miljoenen gebruikers in Europa, dus de hoeveelheid doorgegeven persoonsgegevens is enorm. De ongekende boete is een sterk signaal aan organisaties dat ernstige inbreuken verstrekkende gevolgen hebben”, aldus Jelinek.
DPC legde eerder al 1,1 miljard euro aan boetes op aan Meta
Het is niet de eerste boete die de DPC oplegt aan Meta. Afgelopen jaar kreeg het moederbedrijf van Facebook, Instagram en WhatsApp bijna 1,1 miljard euro aan boetes van de Ierse toezichthouder. In maart kreeg Facebook een boete van 17 miljoen euro opgelegd voor een datalek uit 2018. De DPC deelde in september een boete van 405 miljoen euro uit aan Instagram voor het onzorgvuldig omspringen met gegevens van kinderen. In november kreeg Facebook te horen dat het een boete van 265 miljoen euro moest betalen voor het lekken van persoonsgegevens van 533 miljoen gebruikers.
Tot slot deelde de DPC in december een boete uit van opgeteld 390 miljoen euro voor het aanbieden van gepersonaliseerde advertenties zonder dat Meta gebruikers expliciet hiervoor om toestemming had gevraagd. Facebook moet een bedrag van 210 miljoen euro op tafel leggen, Instagram een bedrag van 180 miljoen euro.
