Houdt de gegevensbeschermingsautoriteit de gegevensoverdracht van Facebook tussen de EU en de VS tegen?! ...misschien halverwege!
De WSJ meldde woensdagavond dat de Ierse gegevensbeschermingscommissie ("DPC") naar verluidt een "voorlopig bevel" heeft gegeven aan Facebook om de gegevensoverdracht tussen de EU en de VS tegen te houden. Eerder deze week deelden we de DPC mee dat we van plan zijn een voorlopig bevel in te dienen over hun besluit om een "tweede" onderzoek naar de zaak in te stellen, omdat dit een gerechtelijk bevel van 2015 zou schenden
Tegelijkertijd lijkt Facebook (opnieuw) de rechtsgrondslag waarop het zich baseert voor gegevensoverdrachten tussen de EU en de VS te hebben verschoven in de nasleep van het arrest van het HvJEU over "Privacy Shield" en het gebruik van standaardcontractuele clausules ("SCC's"). Facebook maakt nu gebruik van een vermeende "noodzaak" om gegevensverwerkingsactiviteiten uit te besteden aan de VS in het kader van de gebruikersovereenkomst en artikel 49, lid 1, onder b), van de GDPR. Voor zover wij weten, valt deze nieuwe rechtsgrond buiten het toepassingsgebied van het "voorlopig bevel" van de gegevensbeschermingsautoriteit.
noyb publiceert nu drie brieven die het publiek een beter inzicht kunnen geven in de gang van zaken bij Facebook en de gegevensbeschermingsautoriteit.
- Uitwisseling met Facebook vanaf augustus 2020 (PDF)
- Brief van de DPC van 31 augustus 2020 (PDF)
- Brief aan de DPC van 7 september 2020 (PDF)
- Verslag van de WSJ (paywalled)
- Commentaar van Facebook
De gegevensbeschermingsautoriteit heeft een "parallelle" zaak geopend voor een klacht die al zeven jaar loopt over het gebruik van SCC's op grond van artikel 46, lid 1, van het Verdrag betreffende de werking van de Europese Unie
We hebben een aantal uitwisselingen met de gegevensbeschermingsautoriteit gehad, waarbij we hebben verzocht om een snelle uitvoering van het arrest van het Hof van Justitie van de EU en de VS over de doorgifte van gegevens. De gegevensbeschermingscoördinator heeft niet aangegeven dat hij dergelijke snelle maatregelen zal nemen. Op 31 augustus 2020 heeft de gegevensbeschermingsautoriteit ons in een brief (PDF) meegedeeld dat zij een tweede zaak zal openen (los van de klachtenprocedure die tot het arrest van het HvJEU heeft geleid) om te onderzoeken of Facbeook zich op de standaardcontractuele clausules (SCC's) baseert. Tegelijkertijd heeft de gegevensbeschermingsautoriteit besloten de lopende klachtenprocedure die de heer Schrems zeven jaar geleden heeft ingeleid, te onderbreken, ondanks het feit dat het Ierse Hooggerechtshof zich er vanaf 2015 toe heeft verbonden snel een beslissing in deze zaak te nemen. De gegevensbeschermingsautoriteit wees erop dat dit tweede onderzoek strikt beperkt is tot het gebruik van SCC's door Facebook op grond van artikel 46, lid 1, van het EG-Verdrag.
Max Schrems, erevoorzitter van noyb.eu: "We zijn natuurlijk blij met het idee dat de Ierse DPC eindelijk zijn werk gaat doen na zeven jaar van procedures en vijf rechterlijke uitspraken, die allemaal ons standpunt hebben bevestigd. Deze stap van de DPC kan echter wel leiden tot een nieuwe halfslachtige beslissing
Facebook voert nu een "parallelle" rechtsgrondslag aan op grond van artikel 49 van het GDPR, die niet onderworpen is aan het beperkte onderzoek van de gegevensbeschermingsautoriteit
Dit beperkte geval van de DPC is bijzonder interessant, aangezien Facebook in een brief van 19 augustus 2020 (PDF, blz. 3) heeft aangegeven dat het zich (na het einde van Safe Harbor, Privacy Shield en de SCC's) nu baseert op een vierde rechtsgrondslag voor gegevensoverdrachten: de vermeende "noodzaak" om de verwerking uit te besteden aan de VS in het kader van het contract met zijn gebruikers (zie artikel 49, lid 1, onder b), van het GDPR). Dit betekent dat een "voorlopig bevel" of "tweede onderzoek" door de gegevensbeschermingscoördinator alleen voor de SCC's in feite niet zal verhinderen dat Facebook beweert dat zijn gegevensoverdrachten tussen de EU en de VS nog steeds legaal zijn. In de praktijk kan artikel 49, lid 1, onder b), van het GDPR een passende rechtsgrondslag zijn voor zeer beperkte gegevensoverdrachten (bijvoorbeeld wanneer een EU-gebruiker een bericht naar een VS-gebruiker stuurt), maar kan het niet worden gebruikt om alle gegevensverwerking aan de VS uit te besteden.
Max Schrems: "De DPC onderzoekt opnieuw slechts één deel van het probleem - zoals ze al twee keer hebben gedaan in de onderzoeken naar de veilige haven en de SCCs. Facebook lijkt te willen dat de DPC zich ook alleen op de SCC's richt, zodat ze aan het einde van deze procedure gewoon de volgende rechtsgrond eruit kunnen halen. Deze juridische editie van 'whac-a-mole' loopt al zeven jaar. Ik vermoed dan ook dat het vermeende voorlopige bevel tegen Facebook weer een nutteloze stap is die de kwestie niet volledig zal oplossen. "
noyb is van plan een voorlopig bevel uit te vaardigen om een einde te maken aan het wanbeheer van de gegevensbeschermingsautoriteit
In reactie op deze situatie heeft de advocaat van de heer Schrems op maandag van deze week een brief naar de gegevensbeschermingsautoriteit gestuurd (PDF), waarin hij benadrukt dat Facebook ook artikel 49 gebruikt en dat de gegevensbeschermingsautoriteit duidelijk in strijd met een gerechtelijk bevel handelt door de klachtenprocedure vanaf 2013 (opnieuw) te onderbreken, alleen maar om een onnodig tweede onderzoek in te stellen naar slechts een deelaspect van de aanvankelijke klacht. Volgens het Ierse recht is de gegevensbeschermingsautoriteit waarschijnlijk in "minachting voor de rechter" - een zeer ernstige zaak die ernstige gevolgen kan hebben voor het hoofd van de gegevensbeschermingsautoriteit.
noyb heeft de gegevensbeschermingscoördinator meegedeeld dat wij van plan zijn een kort geding in te stellen om ervoor te zorgen dat de gegevensbeschermingscoördinator actie onderneemt op alle vermeende rechtsgronden waarop de gegevensoverdracht door Facebook (de SCC's op grond van artikel 46 en het vermeende "contract" op grond van artikel 49 GDPR) is gebaseerd, en dit te doen in het kader van de lopende klachtenprocedure, zoals voorzien door de wet.
Schrems: "Het lek over een geheim "voorlopig bevel" tegen Facebook toont aan dat de gegevensbeschermingsautoriteit een geheime procedure probeerde te voeren zonder de klager. Hoewel een dergelijk bevel in 2013 had moeten worden uitgevaardigd, maken we ons grote zorgen dat de DPC opnieuw slechts een beperkt onderzoek instelt dat niet alle aspecten van de zaak volledig zal bepalen. We zullen daarom in Ierland de juiste juridische stappen ondernemen om ervoor te zorgen dat de rechten van de gebruikers volledig worden gerespecteerd - ongeacht de rechtsgrondslag die Facebook beweert. Na zeven jaar moeten alle kaarten op tafel worden gelegd"
Het is onduidelijk hoe het lek in de 'voorlopige orde' zich verhoudt tot deze achtergrond van de zaak. De DPC heeft op woensdagavond afgesproken om voor vrijdag 11 september 2020 terug te komen op het eventuele kort geding. De advocaten van de heer Schrems zullen alle documenten die in de WSJ exclusief zijn genoemd, opvragen bij de DPC.