Ierse gegevensbeschermingsautoriteit geeft 3,97 miljard euro cadeau aan Meta? Autoriteit zou geen financieel voordeel kunnen halen van Meta's GDPR schendingen in aanmerking te nemen.
Op 04.01.2023 kondigde de Ierse Data Protection Commission (DPC) een boete van € 390 miljoen aan tegen Meta vanwege onrechtmatige gepersonaliseerde reclame op Facebook en Instagram. Uit een eerste analyse van de besluiten blijkt nu dat de DPC bij de berekening van haar boete de inkomsten uit het schenden van de GDPR door de vingers heeft gezien. Dit ondanks een 2/3 meerderheid van alle EU-autoriteiten (de EDPB) die de Ierse DPC heeft opgedragen de miljarden euro's aan onrechtmatige inkomsten van Meta mee te rekenen. De manoeuvre van de DPC bespaarde Meta bijna 4 miljard euro.
- de brief van noyb aan de EDPB waarin de niet-naleving van de EDPB-beschikking door de DPC wordt uiteengezet (PDF)
- Tabel met relevante cijfers (PDF)
- Openbare informatie van Facebook over gebruikers en inkomsten (zie "Earning Slides")
Achtergrond: Meta's schending van de GDPR. In een 4,5 jaar durende strijd over het ontbreken van een rechtsgrondslag voor het aanbieden van gepersonaliseerde advertenties in de EU heeft noyb een belangrijke overwinning behaald. De European Data Protection Board (EDPB) vernietigde de kern van een eerder ontwerpbesluit van de Ierse DPC en oordeelde dat Meta geen juiste rechtsgrondslag had om persoonsgegevens te verwerken voor behavioural advertising. De poging van Meta om een "overeenkomst" in de voorwaarden van Facebook en Instagram te persen werd onwettig bevonden. Elke verwerking op basis van deze "omzeiling" sinds 25 mei 2018 was dan ook onrechtmatig. De EDPB vertelde de DPC dat een extra boete "ctegenwicht moet bieden aan de winst van de inbreuk" en beval de DPC om "een boete op te leggen die dat bedrag overschrijdt".
Nieuwe ontwikkeling: DPC niet in staat de onrechtmatige inkomsten van Meta te schatten? Op 5 december 2022 heeft het Europees Comité voor gegevensbescherming (EDPB) het DPC opgedragen te kwantificeren hoeveel inkomsten Meta had gegenereerd door de GDPR te schenden, en dat bedrag in zijn boete te verwerken. De DPC negeerdeechter gewoon de onrechtmatige inkomsten van Meta en stelde dat"de Commissie niet in staat is een schatting van de zaken te maken" en dat zij daarom "geen rekening kan houden met deze zaken". Dit ondanks het feit dat zij op grond van artikel 58, lid 1, GDPR de bevoegdheid heeft om dergelijke informatie van Meta te verlangen.
Max Schrems, voorzitter van noyb:"We weten allemaal van de enorme inkomsten van Meta. Het is verbazingwekkend dat de DPC daar geen rekening mee heeft gehouden. De DPC maakte niet eens gebruik van haar wettelijke bevoegdheden om Meta om de informatie te vragen. Wij onderzochten daarom openbaar beschikbare informatie en ontdekten dat alleen al deze factor de boete met 3,97 miljard euro had moeten verhogen."
Achtergrond over GDPR-boetes. Artikel 83 van de GDPR bevat de regels voor boetes. Elke boete moet in het algemeen"doeltreffend, evenredig en afschrikkend" zijn, moet rekening houden met de"financiële voordelen die [...] uit de inbreuk voortvloeien", maar is ook beperkt tot 4% van de totale omzet van het afgelopen jaar. In het geval van Meta zou dit neerkomen op een maximale boete van 4,36 miljard euro. De EDPB vroeg de DPC dan ook om de "financiële voordelen" van Meta uit de schending van artikel 6, lid 1, van de GDPR gedurende ongeveer 4,5 jaar te onderzoeken, aangezien een boete die lager zou zijn dan deze voordelen nauwelijks"doeltreffend, evenredig en afschrikkend" kan zijn.
Max Schrems:"Het maximum van 4% van de wereldwijde omzet werd gemakkelijk overschreden door de inkomsten uit onrechtmatige verwerking in de afgelopen 4,5 jaar. Uit openbare informatie kan gemakkelijk worden afgeleid dat alleen al vanwege de inkomsten de maximale boete had moeten worden opgelegd."
Openbare informatie en een spreadsheet. Meta publiceert als beursgenoteerde onderneming de meeste relevante financiële gegevens. Volgens rapporten van Meta zelf verdiende het tussen Q3 2018 en Q3 2022 € 84,7 miljard (US$ 91,59 miljard) aan advertenties op het Europese continent. Gecorrigeerd voor het aantal gebruikers in de EU alleen, bedroeg dit ruwweg € 72,5 miljard (US$ 78,4 miljard). Hoewel "behavioural advertisement" niet alle inkomsten van de totale reclame van Meta uitmaakt, is het duidelijk dat in elk realistisch scenario de inkomsten uit "behavioural advertisement" in de EU de maximale boete van € 4,36 miljard overschrijden.
Max Schrems:"Door niet eens openbaar beschikbare informatie te controleren, schonk de DPC 3,97 miljard euro aan Meta. Het kostte ons een uur en een spreadsheet om de berekening te maken. Ik weet zeker dat de Ierse belastingbetalers dat extra geld niet erg zouden vinden als een medewerker van de DPC gewoon een zoekmachine had geopend en wat onderzoek had gedaan."
Meta verdient nog steeds maximaal € 68,17 miljard aan het schenden van de GDPR. Zelfs als de maximale boete van 4% zou zijn opgelegd, zou Meta sinds 2018 nog steeds tot € 68 miljard hebben verdiend aan de overtreding van de GDPR, als wordt aangenomen dat in principe elke advertentie op Meta momenteel "behavioural advertisement" is. Dit komt vooral omdat de procedure massaal werd vertraagd door de DPC en 4,5 jaar duurde, terwijl de maximale boete slechts op basis van één jaar mag worden berekend. De overtreding van Meta overschreed waarschijnlijk ook de 4% in elk jaar, waardoor de inkomsten de maximale boete per jaar ver overschreden.
Max Schrems:"Bottom line, het loonde absoluut voor Meta om de GDPR te schenden en de Ierse DPC maakte het nog winstgevender voor Meta om de EU-wetgeving te schenden."
Brief aan EDPB. noyb heeft nu een brief aan de EDPB gestuurd waarin het probleem in het DPC-besluit en alle berekeningen gedetailleerd worden beschreven. noyb vraagt de EDPB om ervoor te zorgen dat haar besluit volledig wordt gehandhaafd door de DPC.