Meta krijgt mega-boete van 1,2 miljard euro, gaat in beroep

De boete betreft het overzetten van persoonsgegevens van Europese Facebook-leden naar Amerikaanse servers. Meta kreeg de boete opgelegd na onderzoek van de Ierse gegevensbeschermingsautoriteit Irish Data Protection Authority (IE DPA). Het Europese hoofdkantoor van Meta is in Ierland gevestigd. Afgelopen week meldde Bloomberg al dat de boete er aan zat te komen.

De DPA heeft gekeken naar de periode vanaf 16 juli 2020, toen Meta op basis van standaardcontractbepalingen (SCC's) gegevens van Europese Facebook-leden begon over te zetten. Het concern moet van de DPA ook binnen vijf maanden stoppen met de gewraakte data-overdracht.

Zeer ernstige inbreuk

Andrea Jelinek, EDPB-voorzitter, benadrukt dat de toezichthouder heeft vastgesteld dat de inbreuk van Meta zeer ernstig is, aangezien het gaat om overdrachten die systematisch, repetitief en continu zijn. “Facebook heeft miljoenen gebruikers in Europa, dus de hoeveelheid overgedragen persoonlijke gegevens is enorm. De ongekende boete is een sterk signaal aan organisaties dat ernstige overtredingen verstrekkende gevolgen hebben.”

In zijn bindend besluit van 13 april 2023 heeft de EDPB de Ierse toezichthouder DPA opgedragen zijn ontwerpbesluit te wijzigen en Meta IE een boete op te leggen. Gezien de ernst van de inbreuk oordeelde de EDPB dat het uitgangspunt voor de berekening van de boete tussen 20 en 100 procent van het toepasselijke wettelijke maximum moet liggen.

De EDPB gaf de DPA ook de opdracht om Meta Ierland te gelasten de verwerkingsactiviteiten in overeenstemming te brengen met Hoofdstuk V van de GDPR. Dit betekent dat Meta de onwettige verwerking - inclusief opslag - in de VS van persoonsgegevens van Europese gebruikers die in strijd met de GDPR zijn overgedragen, binnen 6 maanden te staken. Daar zijn nu dus vijf maanden van over.

Meta in beroep

Nick Clegg, president Global Affairs van Meta, heeft laten weten dat de onderneming in beroep gaat tegen de boete. Volgens Clegg is de boete onrechtvaardig en onnodig. Hij geeft aan dat er nieuwe regels aan komen die vanaf de komende zomer veilige gegevensoverdracht tussen Europa en de VS moeten garanderen. Dit moet de in 2020 buiten werking gestelde afspraken in het kader van Privacy Shield vervangen.

"Duizenden bedrijven en organisaties vertrouwen op de mogelijkheid om gegevens uit te wisselen tussen de EU en de VS om te kunnen werken en dagelijkse diensten te verlenen”, stelt Clegg. “Dit gaat niet over de privacy-praktijken van één bedrijf - er is een fundamenteel juridisch conflict tussen de regels van de Amerikaanse overheid over toegang tot gegevens en Europese privacy-rechten, die beleidsmakers naar verwachting in de zomer zullen oplossen."