Europese gegevensbeschermingsautoriteiten krijgen besluit over gegevensoverdracht Facebook van Ierse DPC
Zoals het DPC journalisten heeft laten weten, heeft het vandaag een ontwerpbesluit uitgevaardigd op grond van artikel 60 GDPR, over de gegevensoverdrachten van Facebook (Meta) tussen de EU en de VS in het licht van FISA 702 en de Snowden-onthullingen. Het ontwerpbesluit maakt deel uit van de "eigen wil"-procedure die het DPC parallel aan de oorspronkelijke klacht van Max Schrems is gestart. noyb heeft ermee ingestemd geen details over deze specifieke procedure bekend te maken en kan daarom alleen commentaar geven op publiekelijk bekende informatie.
Geen op handen zijnde stop. Het ontwerpbesluit van het DPC zal niet leiden tot een onmiddellijke stopzetting van de doorgifte van gegevens. In feite zal het ontwerpbesluit de procedure van artikel 60 van de GDPR in werking stellen, waarbij andere gegevensbeschermingsautoriteiten ("DPA's") een maand de tijd krijgen om op het besluit te reageren. Gewoonlijk hebben andere Europese gegevensbeschermingsautoriteiten bezwaar gemaakt tegen belangrijke besluiten van het gegevensbeschermingscollege. Dit leidt dan tot een procedure op grond van artikel 65 GDPR, met een stemming over het definitieve besluit.
Max Schrems:"We verwachten dat andere gegevensbeschermingsautoriteiten bezwaar zullen aantekenen, aangezien sommige belangrijke kwesties in het ontwerp van de gegevensbeschermingsautoriteit niet aan bod komen. Dit zal leiden tot een ander ontwerp en vervolgens tot een stemming. In andere gevallen heeft dit in totaal nog een jaar geduurd, omdat de gegevensbeschermingsautoriteit de opmerkingen van andere gegevensbeschermingsautoriteiten niet vrijwillig heeft overgenomen en er meer dan een half jaar over heeft gedaan om de zaak door te sturen voor een stemming."
Twee jaar na het besluit van het HJEU, 9 jaar in de procedure. De oorspronkelijke zaak die Max Schrems in 2013 had aangespannen, zou "parallel" lopen met een nieuw geopende "eigen wil"-zaak. Het ontwerpbesluit heeft alleen betrekking op de "eigen wil". De klachtenprocedure is niet naar de EDPB gestuurd. Het is onduidelijk wat er in dit stadium met de oorspronkelijke zaak is gebeurd, aangezien het DPC doorgaans details over deze zaken achterhoudt voor de noyb.
Max Schrems:"Onze oorspronkelijke klachtenprocedure werd opgesplitst in twee procedures: een klachtenprocedure en een tweede ambtshalve procedure. We hebben het DPC gevraagd om commentaar op wat er met de klachtenprocedure is gebeurd. In totaal loopt de klachtenprocedure nu al 9 jaar, zonder dat er tot nu toe zelfs maar een ontwerpbesluit ligt."
Geen boete - ondanks 9 jaar illegale gegevensoverdracht? Een belangrijke vraag van de procedure zal zijn of alleen gegevensoverdrachten voor de toekomst moeten worden verboden, wat Facebook / Meta jarenlang zullen bestrijden in de Ierse rechtbanken, of dat een definitief besluit ook een boete zal bevatten voor de illegale gegevensoverdrachten van de afgelopen jaren.
Max Schrems:"Facebook zal het Ierse rechtssysteem gebruiken om een daadwerkelijk verbod op gegevensoverdracht uit te stellen. Ierland zal de politie moeten sturen om de koorden fysiek door te knippen voordat deze overdrachten daadwerkelijk stoppen. Wat wel gemakkelijk zou zijn, is een boete voor de afgelopen jaren, waarin het HvJEU duidelijk heeft gezegd dat de overdrachten illegaal waren. Het is vreemd, dat de DPC de enige efficiënte sanctie in deze zaak lijkt te "vergeten". Je zou de indruk kunnen krijgen, dat het DPC deze zaak gewoon steeds weer in cirkels wil laten ronddraaien."