Het Ierse Hooggerechtshof oordeelde vorige week dat de Data Protection Commission (DPC) mag doorgaan met haar onderzoek naar Facebook. Dit onderzoek zou ertoe kunnen leiden dat Facebook niet langer persoonsgegevens vanuit de Europese Unie mag doorgeven aan de Verenigde Staten.
De Ierse privacytoezichthouder DPC eiste vorig jaar dat Facebook de uitwisseling van Europese gebruikersdata naar de VS stopzette. Facebook ging in hoger beroep tegen dat verbod. In haar arrest van 14 mei wijst het Ierse Hooggerechtshof dit beroep af.
Schrems II
Het verbod van de DPC volgde op de Schrems II zaak van afgelopen jaar. Daarin zette het Europese Hof van Justitie (HvJEU) een streep door het zogenaamde EU-US Privacy Shield. Dit was een regeling over de doorgifte van persoonsgegevens vanuit de EU en naar de VS. Het Privacy Shield moest een beschermingsniveau bieden dat in grote lijnen overeenkomt met het niveau binnen de EU, hetgeen na een toetsing aan de AVG niet het geval bleek te zijn. Toezichtswetten schrijven namelijk het delen van persoonsgegevens met de Amerikaanse overheid voor.
Lees over de ongeldigheid van het Privacy Shield ook mijn eerdere blog.
Verder benadrukte het HvJEU dat de doorgifte van persoonsgegevens nog wel kon plaatsvinden op basis van standard contractual clauses (SCC’s). Dit zijn modelcontractsbepalingen die afspraken bevatten over de verwerking van persoonsgegevens en reeds voor de invoering van het Privacy Shield werden gebruikt. Ook SCC’s zijn pas geldig als ze dezelfde of betere privacywaarborgen bevatten dan de Europese regels op dat vlak. In dit verband oordeelde het HvJEU dat privacytoezichthouders de doorgifte van gegevens moeten opschorten of verbieden, zodra een ander land de bescherming ervan niet kan waarborgen.
Oordeel Ierse High Court
In Schrems II oordeelde het HvJEU dat DPC een onderzoek naar Facebook moest instellen. De Ierse privacytoezichthouder stelde daarop in augustus – dus vlak na de uitspraak van het HvJEU – een onderzoek in. Op grond van dat onderzoek volgde al snel een voorlopig besluit: Facebook mocht niet langer SCC’s gebruiken om aan Europese privacywetgeving te voldoen. Daarmee werd in feite een verbod op het doorgeven van Europese persoonsgegevens aan de VS geëist.
Facebook ging hiertegen in hoger beroep en vocht zowel het onderzoek als het voorlopige ontwerpbesluit aan. Het bedrijf bracht hiertoe talloze argumenten naar voren. Zo vond Facebook het voorlopige besluit – na verloop van zeven jaar – voorbarig en haalde ze het recht om gehoord te worden aan. Ook waarschuwde het bedrijf voor de onomkeerbare en verwoestende gevolgen voor Facebook en diens 410 miljoen actieve gebruikers in Europa.
Het Hooggerechtshof verwerpt dit beroep. Volgens de Ierse rechter heeft Facebook geen geldige redenen aangevoerd om de beslissing van de toezichthouder te betwisten. Ook bestaat er ‘‘geen enkele basis’’ om de werkwijze van de DPC in twijfel te trekken.
Leidende rol Ierse privacywaakhond
Met deze uitspraak kan de Ierse toezichthouder het onderzoek naar een eventuele schending van de Europese privacyregels door Facebook voortzetten. Daarnaast wacht het bedrijf mogelijk een hoge boete. Met namen als Google en Apple, is Facebook niet het enige Amerikaanse techbedrijf dat zijn Europese hoofdkwartier in Ierland vestigde. De Ierse DPC heeft daarom een leidende rol als het aankomt op de handhaving van Europese privacywetgeving.
De uiteindelijke beslissing kan ook de koers van veel andere bedrijven die onder het Ierse toezicht vallen bepalen. Daarom zou deze ingreep bij Facebook wel eens de eerste van velen kunnen zijn. Mocht de toezichthouder het voorlopige besluit uitvoeren, dan komt er een einde aan de geprivilegieerde toegang die Amerikaanse bedrijven op dit moment hebben. Dit zou betekenen dat ze op gelijke voet worden gesteld met bedrijven uit andere landen.
Tot slot
Met deze uitspraak komt een einde aan de zevende rechtszaak in een langlopende strijd tussen Schrems, de DPC en Facebook. Schrems is een Oostenrijkse privacyactivist die in 2013 een klacht indiende tegen Facebook. Hij klaagde bij de DPC dat persoonsgegevens bij Facebook niet veilig zijn omdat ze op Amerikaanse servers staan, en daarmee onder Amerikaans recht vallen. In een afzonderlijke schikking beloofde de DPC aan Schrems onder meer om de klachtenprocedure na onderhavige uitspraak snel uit te voeren.
De Ierse toezichthouder zal Schrems II daarom spoedig moeten toepassen. Als vast komt te staan dat SCC’s ontoereikend zijn om dezelfde of betere privacywaarborgen te bieden dan Europese regels op dat vlak, dan vloeit daaruit een verbod op het doorgeven van Europese persoonsgegevens aan de VS voort. Dit heeft ook gevolgen voor andere bedrijven die op die manier persoonsgegevens doorgeven. Want in dat geval zullen Europese verstrekkers de doorgifte van gegevens moeten opschorten en/of de overeenkomst met Amerikaanse ontvangers moeten beëindigen.