Europeiska dataskyddsmyndigheter får beslut om överföring av Facebook-data av irländska DPC
Som DPC informerade journalister idag utfärdade den ett utkast till beslut enligt artikel 60 GDPR, angående Facebooks (Meta's) dataöverföringar mellan EU och USA mot bakgrund av FISA 702 och Snowden-avslöjandena. Utkastet till beslut är en del av det förfarande "på eget initiativ" som DPC inledde parallellt med det ursprungliga klagomålet från Max Schrems. noyb har samtyckt till att inte avslöja detaljer om detta specifika förfarande och kan därför endast kommentera allmänt känd information.
Inget omedelbart stopp. DPC:s utkast till beslut kommer inte att leda till ett omedelbart stopp av dataöverföringar. I själva verket kommer utkastet till beslut att utlösa processen enligt artikel 60 i GDPR, vilket ger andra dataskyddsmyndigheter ("DPA") en månad på sig att kommentera beslutet. Vanligtvis har andra europeiska dataskyddsmyndigheter invänt mot viktiga beslut som kommer från dataskyddskommittén. Detta utlöser sedan ett förfarande enligt artikel 65 i GDPR, med en omröstning om det slutliga beslutet.
Max Schrems:"Vi förväntar oss att andra dataskyddsmyndigheter kommer att göra invändningar, eftersom vissa viktiga frågor inte behandlas i DPC:s utkast. Detta kommer att leda till ytterligare ett utkast och sedan en omröstning. I andra fall har detta tagit ytterligare ett år, eftersom DPC inte frivilligt har implementerat kommentarer från andra dataskyddsmyndigheter och det har tagit mer än ett halvår att skicka ärendet vidare för omröstning."
Två år från EU-domstolens beslut, 9 år in i förfarandet. Det ursprungliga målet som Max Schrems väckte 2013 skulle enligt planerna drivas "parallellt" med ett nyöppnat mål "på eget initiativ". Utkastet till beslut gäller endast den "egna viljan". Klagomålsförfarandet skickades inte till EDPB. Det är oklart vad som hände med det ursprungliga ärendet i detta skede, eftersom DPC vanligtvis undanhåller detaljer om dessa ärenden från noyb.
Max Schrems:"Vårt ursprungliga klagomålsförfarande delades upp i två förfaranden: ett klagomålsförfarande och ett andra ex officio-förfarande. Vi bad DPC om kommentarer om vad som hände med klagomålsförfarandet. Sammantaget har klagomålsförfarandet pågått i 9 år nu, och hittills har det inte ens kommit ett utkast till beslut."
Inga böter - trots 9 år av olagliga dataöverföringar? En viktig fråga i förfarandet kommer att vara om endast dataöverföringar framöver ska förbjudas, vilket Facebook / Meta kommer att kämpa för i de irländska domstolarna i flera år, eller om ett slutligt beslut också kommer att innehålla böter för de senaste årens olagliga dataöverföringar.
Max Schrems:"Facebook kommer att använda det irländska rättssystemet för att fördröja ett faktiskt förbud mot dataöverföringar. Irland kommer att behöva skicka polisen för att fysiskt klippa av sladdarna innan dessa överföringar faktiskt upphör. Vad som däremot skulle vara enkelt att göra är att utdöma böter för de senaste åren, där EU-domstolen tydligt har sagt att överföringarna var olagliga. Det är märkligt att DPC verkar "glömma bort" det enda effektiva straffet i detta fall. Man kan få intrycket att DPC bara vill att detta ärende ska gå i cirklar om och om igen."
