Deep Dive: Hoe Facebook het HJEU probeert te negeren - ondanks twee arresten.

Dec 19, 2021

Deep Dive: Hoe de beslissingen van het HJEU in drie stappen te negeren. Facebook's Transfer Impact Assessment uitgelegd.

Voor de privacy geeks, die meer willen weten dan wat we hebben samengevat in onze 4th Advent Reading, bieden we een diepere duik op deze pagina over de vier elementen van Facebook's "Transfer Impact Assessment" (TIA).

Onze aanpak van deze openbaarmakingen. Om dure "SLAPP" rechtszaken te vermijden zijn sommige elementen niet beschikbaar in sommige jurisdicties en hebben we besloten om de documenten samen te vatten in een video in plaats van ze rechtstreeks te publiceren. Waar de inhoud van het document relevanter is, lichten we die meer in detail toe en citeren we er elementen uit. Er is één video per document. Onderaan de pagina kunt u lezen waarom wij dit document legaal mogen gebruiken.

Document 1: Hoofdlijnen document

Het hoofddocument verwijst in wezen naar de andere drie documenten, die hieronder worden besproken. Het telt 7 bladzijden en is enigszins interessant, omdat het de "samenvatting" lijkt te zijn van de andere documenten en een overzicht geeft. Het belangrijkste deel van de TIA is duidelijk de "Equivalence Assessment", waarin Facebook de arresten van het HJEU volledig negeert en tot de conclusie komt dat het recht van de EU en dat van de VS "gelijkwaardig" zijn. De andere twee documenten worden slechts gepresenteerd als aanvullende bronnen. In de "Factors Assessment" wordt voornamelijk beschreven dat gegevens naar de VS worden gezonden en om welke gegevens het gaat, alsmede het feit dat de Amerikaanse overheid toegang heeft op grond van FISA 702. De "Record of Safeguards" bevat ook de vermeende "aanvullende maatregelen", zelfs wanneer geen enkele maatregel duidelijk betrekking heeft op de Amerikaanse toezichtswetten of het arrest van het HJEU. Uiteindelijk is het niet meer dan een lijst van standaardpraktijken van de industrie.

Kortom, het argument dat de EU-wetgeving en de VS-wetgeving "gelijkwaardig" zijn, is de ruggengraat en de enige pijler van de aanpak van Facebook.

Document 2: Gelijkwaardigheidsbeoordeling van de wetgeving van de VS

De"Equivalence Assessement" ("EA") is een document van 58 bladzijden dat uitdrukkelijk wordt onderschreven door de advocatenkantoren van Facebook , Mason Hayes & Curran LLP en Perkins Coie LLP (punt 1.4 van de EA). Het document wordt het best samengevat in de woorden van Facebook zelf (blz. 7 van het Outline document):

Om tot dit resultaat te komen, voert Facebook aan dat het HvJEU niet over alle relevante feiten beschikte om tot zijn conclusie te komen, ondanks het feit dat Facebook ongeveer 45.000 pagina's in de procedure heeft ingediend. Facebook voert verder aan dat het HvJEU alleen de beoordeling van de Europese Commissie in het "Privacy Shield" heeft verworpen, maar niet in detail is ingegaan op de beoordeling van Facebook. Daarom zou het HvJEU volgens Facebook nooit hebben beslist over de overdrachten van Facebook in het kader van de SCC's. Dit is feitelijk onjuist, aangezien het HvJEU in punt 168 van het arrest heeft uiteengezet dat het zich heeft gebaseerd op de bezwaren van het Ierse High Court en het Privacy Shield van de Commissie. Facebook en de regering van de VS hebben over deze kwesties voor het HvJEU aanzienlijke argumenten aangevoerd. Niettemin heeft het HvJEU duidelijk geoordeeld dat het recht van de VS niet alleen niet "gelijkwaardig" is, maar ook in strijd is met de artikelen 7, 8 en 47 van het Handvest van de grondrechten.

Facebook verdoezelt het EU-recht verder door voornamelijk uitspraken van het Europees Hof voor de Rechten van de Mens (EHRM) in Straatsburg (onderdeel van de Raad van Europa, met 47 lidstaten, waaronder Turkije en Rusland) onder de lage norm van de artikelen 6 en 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) te verwarren met de uitspraken van het Hof van Justitie van de Europese Unie (HJEU) en zijn veel hogere norm onder het Handvest van de Grondrechten van de Europese Unie (CFR).

In tegenstelling tot de benadering van het EU-recht "vergroot" Facebook de bescherming volgens het recht van de Verenigde Staten, die het reeds talloze malen heeft aangevoerd voor het Ierse High Court en het Hof van Justitie in de "Schrems II"-rechtszaak. Zij werden alle verworpen. Niettemin beroept Facebook zich opnieuw op deze elementen om tot de conclusie te komen dat het recht van de VS bescherming zou bieden aan niet-Amerikaanse personen.

Deze combinatie van volledige verwerping van het arrest van het HJEU, het verdisconteren van het EU-recht en het uitvergroten van het VS-recht rechtvaardigt op de een of andere manier illegale doorgifte van gegevens tussen de EU en de VS.

Document 3: Factorenbeoordeling

In de 7 bladzijden tellende"Factorbeoordeling" betoogt Facebook niet echt dat bepaalde factoren het effect van de doorgifte van gegevens tussen de EU en de VS op de een of andere manier beperken.

In plaats daarvan wordt in de inleiding uitgelegd dat Facebook in het kader van de "Equivalence Assessment" tot de conclusie komt dat het recht van de EU en dat van de VS gelijkwaardig zijn (in tegenstelling tot de arresten van het HvJEU). Facebook zegt dan ook dat de "Factors Assessment" eerder een "case by case" beschrijving is van hun EU-VS doorgiften, dan dat het daadwerkelijk gaat om factoren die het toezicht beperken.

De beperkte factoren die volgens Facebook zouden wijzen op een geringere inbreuk op de grondrechten van de EU zijn bijvoorbeeld het aantal verzoeken van de regering van de VS volgens het transparantieverslag van Facebook zelf. De andere "factoren" beschrijven gewoon feiten zoals het feit dat de ontvanger Facebook Inc. is of dat Facebook Inc. in feite FISA-verzoeken van de VS-regering ontvangt (blz. 7 van de "Factorbeoordeling"):

Het is onduidelijk hoe deze "factoren" kunnen helpen om een overdracht legaal te maken. In feite lijkt Facebook zich niet echt op deze "factoren" te baseren om te rechtvaardigen dat de overdracht legaal zou zijn, maar heeft het document eerder ontworpen als een loutere feitelijke beschrijving. Het belangrijkste argument blijft dat het HJEU ongelijk heeft en dat het recht van de EU en dat van de VS in feite gelijkwaardig zijn.

Document 4: Verslag over de vrijwaringsmaatregelen, met inbegrip van aanvullende maatregelen

Ten slotte heeft Facebook een document van 14 bladzijden opgesteld met de naam"Record of Safeguards", dat vooral een lange tabel van "maatregelen" is, waaronder "organisatorische maatregelen" en "technische maatregelen". Het zijn in feite allemaal basisbeleidslijnen, die bijvoorbeeld vereist zijn op grond van artikel 32 GDPR, zoals "mobile device management" of het hebben van een intern beleid over hoe te reageren op verzoeken van de overheid.

Interessant is dat Facebook wereldwijd slechts 130 personen in dienst heeft om op alle overheidsverzoeken te reageren. Dit zou betekenen dat een juridisch verzoek gemiddeld zo'n 10-15 minuten wordt nagekeken. Als maatregel om te beschermen tegen nepverzoeken van de overheid benadrukt Facebook vooral dat het controleert of het e-mailadres afkomstig is van een overheidsdomeinnaam. Het is onduidelijk of Facebook controleert of een specifieke overheidsinstantie het recht heeft om persoonlijke gegevens van accounthouders op te eisen. Geen van de opgesomde maatregelen lijkt direct verband te houden met de Amerikaanse surveillancewetten.

Het enige element dat melding maakt van FISA 702 en EO 12.333 benadrukt dat Facebook gebruik maakt van industrie standaard encryptie algoritmen en protocollen in transit, deze standaarden zijn TLS encryptie (zoals gebruikelijk voor elke website) en AES encryptie (zoals elke smartphone doet). Facebook erkent dat niet alle gegevens versleuteld zijn, aangezien het vermeldt dat alleen bijna al het Facebook-verkeer TLS-versleuteld is. In feite is er geen enkele maatregel die op enigerlei wijze bescherming zou bieden tegen een bevel onder FISA 702 PRISM / DOWNSTREAM (dus surveillance direct bij Facebook), maar zijn alleen verbonden met "UPSTREAM" (dus surveillance via de internet backbone). Aangezien Facebook alle encryptie sleutels bezit en toegang heeft tot alle data in the clear, is er geen enkele manier dat TLS en AES een relevante bescherming is:

Facebook sluit het document af met "proactieve" maatregelen, zoals lobbyen en bijdragen aan de ontwikkeling van de Amerikaanse wetgeving en met het hebben van meer informatie voor gebruikers in FAQ's.

We vroegen Alan Butler van epic.org naar de "Record of Safeguards":

Wettelijke basis voor de publicatie. Zoals vermeld in onze eerste adventslezing, zijn de vier noyb adventslezingen een protest tegen de onwettige verwijdering van noyb door het DPC in een hangende procedure. Alle documenten zijn verstrekt via de klachtenprocedure van de heer Schrems, die al 8,5 jaar in behandeling is bij het Ierse DPC.

In een door de advocaten van Schrems geschetst en door het DPC aanvaard systeem mag Schrems vrij gebruik maken van documenten uit de procedure, in gevallen waarin Facebook wettelijk verplicht is om deze documenten te verstrekken, hetgeen hier duidelijk het geval is:

Artikel 5, lid 1, sub a, GDPR vereist dat Facebook transparant is. Artikel 13, lid 1, onder f), vereist dat Facebook gebruikers informeert over de manier waarop zij een kopie kunnen krijgen van de maatregelen die een internationale doorgifte rechtvaardigen, en artikel 15, lid 2, GDPR voorziet specifiek in een recht om een kopie van die maatregelen te krijgen. In feite kunnen gebruikers een gegevensoverdracht niet aanvechten als zij niet over de bestaande beschermingsmaatregelen worden geïnformeerd. De SCC's zelf voorzien in soortgelijke bepalingen, aangezien zij de gebruikers het recht geven de SCC's af te dwingen (clausules 3, 8.9, en 14 van de SCC's). Het lijkt erop dat elk bedrijf dat Facebook als verwerker of gezamenlijk voor de verwerking verantwoordelijke gebruikt, ook de TIA zou moeten krijgen.

Niettemin is het standpunt van Facebook en de Ierse DPC dat gebruikers op grond van de GDPR en de SCC's geen kopie van Facebook's TIA kunnen krijgen, maar dat deze alleen beschikbaar zijn voor de relevante toezichthoudende autoriteit (in dit geval dus alleen de DPC).

De documenten bevatten zelfs geen commercieel of technisch gevoelige informatie en zijn niet beschermd door enige relevante wet.