Hoogste GDPR boete ooit

De Algemene Verordening Gegevensbescherming, beter bekend als de “GDPR”, staat al sinds haar inwerkingtreding in 2018 wereldwijd bekend om haar strikte sanctieregeling. Zo kunnen onder meer boetes opgelegd worden die tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van de inbreukmakende verantwoordelijke kunnen oplopen. In 2021 werd aande Amerikaanse techgigant Amazon door de CNDP - de Luxemburgse gegevensbeschermingsautoriteit - de hoogste GDPR boete ooit opgelegd. Amazon werd toen, na een klacht van La Quadrature du Net, veroordeeld tot een boete van maar liefst 746 miljoen euro.

Op 22 mei 2023 raakte bekend dat Amazon de fakkel mag doorgeven aan een andere grote speler op de technologiemarkt: Meta Platforms Ireland. Op 12 mei 2023 werd Meta namelijk na een bijzonder lange lijdensweg veroordeeld door de Ierse gegevensbeschermingsautoriteit (Ierse DPC) tot het nieuwe recordbedrag van 1,2 miljard euro. De reden voor de torenhoge boete houdt de privacywereld al geruime tijd in de ban: internationale doorgiften van persoonsgegevens naar de Verenigde Staten. Voor achtergrondinformatie over dat onderwerp verwijzen we naar onze eerdere nieuwsbrief: “(R)evolutie in doorgiften van persoonsgegevens”.

Deze uitspraak tegen Meta is geen alleenstaand fenomeen. Zo werd in december 2021 reeds door de Oostenrijkse gegevensbeschermingsautoriteit vastgesteld dat het gebruik van Google Analytics in strijd is met de GDPR, eveneens omwille van de niet-conformiteit van de internationale doorgiften van persoonsgegevens aan de Verenigde Staten.

Meta haalt in haar reactie op deze veroordeling een interessant punt aan. De problematiek betreffende het niet-adequate niveau van bescherming van persoonsgegevens overstijgt de Meta groep. Het gaat namelijk voornamelijk om de quasi-ongelimiteerde toegang die bepaalde Amerikaanse overheidsdiensten (zoals de NSA en de CIA) hebben tot de data die binnen een Amerikaans bedrijf worden verwerkt.

Deze veroordeling van Meta maakt echter niet dat er van vandaag op morgen geen Facebook, Instagram of WhatsApp meer beschikbaar zullen zijn in de EU. Meta liet weten in beroep te gaan tegen de beslissing en gelijktijdig loopt ook de procedure binnen de Europese overheden om te komen tot een nieuw adequaatheidsbesluit voor de Verenigde Staten: Privacy Shield II. Dat adequaatheidsbesluit zou er toe moeten leiden dat bedrijven gemakkelijker persoonsgegevens kunnen delen met partijen die in de Verenigde Staten zijn gevestigd.

Max Schrems en zijn NGO ‘None Of Your Business’ blijven ook niet stil zitten. Zij communiceerden reeds dat ze zich niet zullen inhouden om de schouders onder een “Schrems III” zaak voor het Hof van Justitie te zetten. Dat zullen ze doen indien ook nu geen wezenlijke veranderingen worden doorgevoerd aan de manier waarop onze persoonsgegevens door de grote Amerikaanse techbedrijven worden verwerkt en de inzage die de Amerikaanse overheden daarin kunnen nemen.

De beslissing van de Ierse DPC bevestigt de reeds lang bestaande bekommernis: de juridische onzekerheid die kleeft aan internationale doorgiften van persoonsgegevens buiten de Europese Economische Gemeenschap (niet enkel de Verenigde Staten). Daarom is het belangrijk voor bedrijven en organisaties om deze onzekerheden met de nodige zorg te behandelen en zich grondig te informeren. Uw bedrijf of organisatie moet haar internationale data transfers en bijgevolg haar contacten met derden in hun geheel opnieuw evalueren. Daarvoor zijn zowel operationele als juridische inspanningen vereist.

Deze intense strijd houdt ongetwijfeld de interesse van de privacyminnende gemeenschap vast voor de voorzienbare tijd. We volgen de laatste ontwikkelingen betreffende de internationale doorgiften van persoonsgegevens en het geheel van gegevensbeschermingsregels op de voet. In een latere nieuwsbrief houden we u daarvan op de hoogte.

Indien u juridische vragen heeft over internationale doorgiften van persoonsgegevens, de sanctieregeling onder de GDPR of privacy- en gegevensbescherming, aarzel dan niet om contact op te nemen met ons Privacy & Data Protection team.

Alexander Broux, Dylan Verhulst en Kristof Zadora