Boete van de Europese Commissie wegens het overbrengen van gebruikersgegevens naar meta in strijd met de privacywetten

Het Europese Gerechtshof heeft woensdag een boete opgelegd aan de Europese Commissie, de belangrijkste uitvoerende macht van de Europese Unie die verantwoordelijk is voor het voorstellen en handhaven van wetten voor de lidstaten, wegens het overtreden van de eigen regelgeving inzake gegevensprivacy van het blok.

Deze ontwikkeling markeert de eerste keer dat de Commissie aansprakelijk wordt gesteld voor het overtreden van strenge gegevensbeschermingswetten in de regio.

De rechtbank oordeelde dat er sprake was van een ‘voldoende ernstige inbreuk’ door de persoonlijke gegevens van een Duits staatsburger, inclusief zijn IP-adres en metagegevens van de webbrowser, over te dragen naar de servers van Meta in de Verenigde Staten bij een bezoek aan de nu inactieve website futureu.europa(.)eu. in maart 2022.

De persoon registreerde zich voor een van de evenementen op de site door gebruik te maken van de inlogdienst van de Commissie, die de mogelijkheid bood om in te loggen met een Facebook-account.

“Door middel van de hyperlink ‘Aanmelden met Facebook’ die op de EU Login-webpagina wordt weergegeven, heeft de Commissie de voorwaarden geschapen voor de overdracht van het IP-adres van de betrokken persoon aan het Amerikaanse bedrijf Meta Platforms”, aldus het Hof van Justitie van de Europese Unie. zei in een persverklaring.

De verzoeker had aangevoerd dat door het doorgeven van zijn gegevens aan de VS het risico bestond dat de Amerikaanse veiligheids- en inlichtingendiensten toegang zouden krijgen tot zijn persoonsgegevens.

Hun beschuldiging dat de gegevens ook waren overgedragen naar Amazon CloudFront-servers in de VS werd echter afgewezen nadat was vastgesteld dat de informatie werd gehost op een server in München, Duitsland. De website in kwestie maakte gebruik van het Content Delivery Network (CDN) van Amazon.

“Ten tijde van die overdracht, op 30 maart 2022, was er geen besluit van de Commissie waarin werd vastgesteld dat de Verenigde Staten een passend beschermingsniveau voor de persoonsgegevens van EU-burgers waarborgden”, aldus de rechtbank. “Bovendien heeft de Commissie niet aangetoond of beweerd dat er sprake was van een passende waarborg, in het bijzonder een standaardclausule inzake gegevensbescherming of een contractuele clausule.”

Volgens het Gerecht kwam dit neer op een overtreding van wetten met betrekking tot de overdracht van persoonsgegevens door een instelling, orgaan, kantoor of agentschap van de EU naar een derde land op grond van artikel 46 van Verordening 2018/1725.

Als gevolg hiervan heeft de rechtbank de Commissie veroordeeld tot het betalen van de persoon € 400 ($412), die zij vorderden als compensatie voor de immateriële schade die zij beweerden te hebben geleden als gevolg van de gegevensoverdracht.

Thijs Van der Does