Facebook (Meta) blev af det irske Datatilsyn idømt en bøde på 1,2 milliarder Euro for ulovlig overførsel af persondata til USA

Dette er den største bøde, der er uddelt efter GDPR nogensinde. Med afgørelsen slår det irske datatilsyn fast, at Meta Irland ikke har kunnet sikre et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der blev overført til USA. Afgørelsen kom dog først efter at det europæiske dataråd (EDPB)  skar igennem.

Af Sven Petersen

Sagens historik
Sagen er en af flere sager mod Meta og trækker sine tråde helt tilbage til tiden før GDPR´s ikrafttræden i 2018. Sagen er faktisk så gammel, at det var den sag, som medførte, at den første EU – USA aftale (”safe harbor” ordningen) blev underkendt af EU domstolen. Sagen er kendt som i Schrems I og fulgte i kølvandet på Edward Snowdens afsløringer om NSA´s masseovervågning. Schrems I dommen blev afsagt af EU domstolen i 2015.

I august 2016 trådte Privacy Shield- ordningen i kraft som en afløser for safe harbor ordningen. Facebook tilsluttede sig den nye ordning og trak dermed den irske sag i langdrag. Det irske datatilsyn havde ikke til sinds, at idømme Facebook en bøde eller stoppe dataoverførslen til USA, hvorfor Max Schrems så sig nødsaget til at også at klage over den nye ordning, idet han fortsat mente, at overførslen var i strid med EU borgernes grundlæggende rettigheder, da EU borgere bl.a. havde langt færre rettigheder til at klage over databehandlingen end amerikanerne havde. Privacy Shield ordningen blev herefter underkendt af EU domstolen i den såkaldte Schrems II sag. Dommen blev afsagt i juli 2020.

Gennem alle årene overførte Facebook overført data til servere i USA. Efter at Privacy Shield blev erklæret ulovlig overførte Facebook data til USA på baggrund af EU´s standardoverførselsgrundlag, som kaldes “Standard contractual clauses” (SCC).

Det fremgår af Schrems II dommen, at dette ikke er et tilstrækkeligt overførselsgrundlag. Det kræver yderligere tiltag, hvis overførslen af persondata set med EU briller skal betegnes som værende sikker nok.

Samme overførsler - men ændrede juridiske argumenter over årene
Siden 2020 har sagen derfor i sin kerne handlet om, hvorvidt Meta - udover at gøre brug af EU´s standardoverførselsgrundlag - har iværksat tilstrækkelige supplerende foranstaltninger til beskyttelse af EU borgernes data. Om denne problemstilling kan du læse mere om i Cloudvejledningen på Datatilsynets hjemmeside.

Ligesom vi efterhånden har set det i andre sager gentager det irske datatilsyn budskabet, at et tilstrækkeligt beskyttelsesniveau ikke kan etableres ved den blotte aftale mellem dataeksportøren Meta Irland og Meta US baseret på SCC. Der skal noget mere til i form af supplerende foranstaltninger.

Kan det ikke lade sig gøre nævner Datatilsynet i cloudvejledningen side 25 følgende:

”Alternativt kan du vælge at overføre personoplysninger til USA uden at implementere supplerende foranstaltninger, hvis du ”ikke har nogen grund til tro, at den relevante problematiske lovgivning vil blive anvendt i praksis for så vidt angår de oplysninger, du overfører, eller den organisation, du overfører oplysningerne til.”

I den konkrete sag var Meta ikke i stand til at løft bevisbyrden om, at deres supplerende foranstaltninger havde været tilstrækkelige. I alle de år sagen stod på, havde Facebook fortsat med at overføre data. Dette er formentlig en af årsagerne til at bøden blev så høj som den gjorde. Den store bøde blev dog først fastsat efter at det europæiske dataråd (EDPB) havde tilsidesat det irske tilsyn.