23 jaar illegale gegevensoverdrachten door inactieve DPA's en nieuwe EU-VS-overeenkomsten
In twee belangrijke uitspraken in 2015 en 2020 verklaarde het Hof van Justitie van de Europese Unie (HvJEU) de doorgifte van gegevens tussen de EU en de VS illegaal. Deze uitspraken hebben terugwerkende kracht, wat betekent dat er tussen 2000 en 2023 geen wettelijke basis was voor deze doorgiften. Desondanks bleven de meeste EU-bedrijven gebruik maken van diensten als Google Analytics of trackingtools van Meta, die onwettige gegevensoverdrachten naar de VS met zich meebrengen. Een nieuwe analyse van de 101 klachten vannoyb over die kwestie laat nu zien hoe een combinatie van inactieve gegevensbeschermingsautoriteiten en nieuwe afspraken van de Europese Commissie hebben geleid tot 23 jaar privacyschendingen.
23 jaar illegale doorgiften. Het hoogste Europese gerechtshof gaf een sterk signaal af voor betere gegevensprivacy toen het de gegevensoverdrachtdeals "Safe Harbor" en "Privacy Shield" ongeldig verklaarde in respectievelijk 2015 en 2020. Het logische gevolg van deze beslissing was dat bijna alle overdrachten tussen de Europese Unie en de Verenigde Staten sinds het jaar 2000 illegaal waren. In werkelijkheid zijn bedrijven hier echter niet mee gestopt. Dit werd grotendeels mogelijk gemaakt door de passiviteit van de Europese gegevensbeschermingsautoriteiten (DPA's), die de uitspraken van het HvJEU meestal niet implementeerden. In combinatie met nieuwe (en ongeldige) overeenkomsten kijken we daarom terug op 23 jaar illegale gegevensoverdracht.
Marco Blocher, advocaat gegevensbescherming bij noyb: "We zijn getuige van een zekere ineenstorting van de rechtsstaat. Europa's hoogste gerechtshof heeft de gegevensoverdrachten van de afgelopen 23 jaar illegaal verklaard, maar de autoriteiten keken grotendeels de andere kant op."
Stof in een la. Om de handhaving te waarborgen, had noyb 101 klachten ingediend nadat het HvJEU in 2020 het adequaatheidsbesluit "Privacy Shield" ongeldig had verklaard. Hoewel deze uitspraak de wettelijke basis voor gegevensoverdracht wegnam, bleven veel goed bezochte websites gegevens over hun bezoekers doorsturen naar servers van Google en Meta in de Verenigde Staten. Ondanks expliciete klachten en het feit dat de doorgifte een duidelijke schending van de GDPR vormde, hebben de bevoegde gegevensbeschermingsautoriteiten tot op de dag van vandaag nog steeds geen beslissing genomen in meer dan 70 procent van de klachten van noyb. 18 augustus is de derde verjaardag van de klachten.
Eindeloos wachten. De uitspraak van het HvJEU heeft in feite gezorgd voor een duidelijke juridische situatie voor gegevensbeschermingsautoriteiten om relatief snel een beslissing te nemen in zaken over gegevensoverdracht. noyb's nieuwste analyse laat echter zien dat 20 van de 32 betrokken autoriteiten (62,5%) nog geen beslissing hebben genomen over één klacht die bij hen is ingediend. Zelfs de meer actieve autoriteiten deden er veel langer over dan de wet voorschrijft. De eerste van momenteel 13 beslissingen kwam van het Oostenrijkse DSB. Het duurde bijna 1,5 jaar om een beslissing te nemen over de klacht van noyb, ondanks de eenvoudige feiten van de zaak en de duidelijke juridische situatie.
Marco Blocher, advocaat gegevensbescherming bij noyb: "Ongeveer twee derde van alle gegevensbeschermingsautoriteiten waarbij we een klacht hebben ingediend, hebben in drie jaar tijd geen enkele beslissing genomen. Sommige zijn zelfs onbereikbaar en geven geen updates over de status van de klachten. Het is absurd dat in sommige lidstaten zelfs zulke eenvoudige zaken niet worden uitgevoerd."
Een slecht voorbeeld. Wat het nog erger maakt is dat de Ierse Data Protection Commission (DPC) - dus de toezichthoudende autoriteit voor Google en Meta - een van de 20 DPA's is die nog geen vinger heeft uitgestoken. Alle zes noyb-klachten die bij de DPC zijn ingediend, zijn nog in behandeling. Maar de autoriteit staat hierin niet alleen. Hetzelfde geldt onder andere voor de Belgische, Nederlandse, Griekse, Poolse, Slowaakse en Tsjechische gegevensbeschermingsautoriteit. De volledige analyse is hierboven gelinkt.
Niemand durft een boete uit te schrijven. Tot nu toe zijn er in totaal 73 zaken in behandeling. noyb won negen zaken, won er drie gedeeltelijk en verloor er één. Maar zelfs het positieve nieuws is ontnuchterend. Slechts in één zaak heeft de bevoegde instantie (in Zweden) een boete opgelegd voor het onrechtmatig gebruik van Google Analytics: De telecomprovider Tele2 moest een miljoen euro betalen, de online retailer CDON 25.000 euro. Dat zijn slechts twee boetes in 101 gevallen.
Marco Blocher, advocaat gegevensbescherming bij noyb: "Alleen de Zweedse autoriteit heeft een boete uitgedeeld, alle andere autoriteiten hebben geen boete uitgedeeld voor een overduidelijke GDPR overtreding."
De EU-Commissie heeft de gegevensbeschermingsautoriteiten ingehaald. Voor veel van de resterende klachten is het drie jaar na indiening nog steeds onduidelijk of de bevoegde gegevensbeschermingsautoriteiten ooit tot een beslissing zullen komen of dat ze de kwestie gewoon proberen uit te zitten. Ondertussen zijn de Europese Commissie en de Verenigde Staten aan het werk gegaan. Half juli van dit jaar bereikten ze overeenstemming over een "nieuw" Trans-Atlantic Data Privacy Framework ("TADPF") dat grotendeels een kopie is van zijn voorganger. EU-burgers hebben nog steeds geen grondwettelijke rechten in de Verenigde Staten waardoor inlichtingendiensten zoals de NSA hun gegevens kunnen gebruiken voor surveillancedoeleinden. Tegelijkertijd geeft het nieuwe kader de gegevensbeschermingsautoriteiten de mogelijkheid om actieve procedures op te schorten om af te wachten of het HvJEU de adequaatheidsbeschikking voor de derde keer ongeldig zal verklaren.
Marco Blocher, advocaat gegevensbescherming bij noyb: "We hebben in feite 23 jaar van back-to-back illegale overdracht deals of niet-handhaving. Het is verbazingwekkend dat ieder normaal persoon een boete krijgt als hij de wet overtreedt, maar als het gaat om de GDPR zijn er gewoon geen consequenties - zelfs niet na twee arresten van het HvJEU."
Mogelijke maatregelen zijn allemaal op niets uitgelopen. Nadat noyb 101 klachten had ingediend, leek het er even op dat er hoop was op een tijdige oplossing. De EDPB richtte zelfs een informele "taskforce" op om versnippering van de besluitvormingspraktijk te voorkomen. Helaas leidde dit niet tot een uniforme aanpak om onwettige gegevensoverdrachten eindelijk een halt toe te roepen. Het onderliggende probleem van bedrijven die de Europese wetgeving inzake gegevensbescherming niet naleven, bestaat nog steeds. Het eindrapport van de taskforce bevat alleen voor de hand liggende uitspraken op hoog niveau.
Derde keer scheepsrecht? Net als "Safe Harbor" en "Privacy Shield", zal de nieuwe "TADPF" vroeg of laat worden aangevochten voor het HvJEU, die dan de geldigheid ervan zal beoordelen onder de EU-wetgeving. Aangezien de fundamentele problemen met de Amerikaanse surveillancewetgeving nog steeds bestaan, is de kans groot dat het het lot van zijn voorgangers zal ondergaan - en met terugwerkende kracht ongeldig zal worden verklaard. De bal ligt dan weer bij de gegevensbeschermingsautoriteiten. Uiteindelijk zullen ze de uitspraak van het HvJEU moeten uitvoeren. Gezien hun prestaties tot nu toe zijn de vooruitzichten somber. noyb is bereid om alle juridische mogelijkheden te benutten om een beslissing te verkrijgen voor lopende klachten en - indien nodig - nieuwe klachten in te dienen om ervoor te zorgen dat toekomstige uitspraken van het HvJEU zullen worden gerespecteerd.
