De Data Protection Commission (DPC) deelde in 2022 voor ruim één miljard euro aan boetes uit aan bedrijven en organisaties die actief zijn in Europa. Verreweg de meeste boetes gingen naar het Amerikaanse technologiebedrijf Meta. De DPC zegt tevreden te zijn met de resultaten.
Dat schrijft de Ierse toezichthouder in haar jaarverslag over 2022 (1)
De DPC zegt het afgelopen jaar 17 grootschalige onderzoeken te hebben afgerond en daarbij voor meer dan één miljard euro aan boetes te hebben uitgedeeld. De privacywaakhond verwerkte 9.370 nieuwe zaken, waarvan 6.660 vraagstukken over Europese privacywetgeving en 2.710 klachten. In totaal rondde de toezichthouder 10.008 zaken af, inclusief 1.920 zaken van het jaar ervoor.
In vergelijking met 2021 daalde het aantal nieuwe zaken met 14 procent. Het aantal datalekmeldingen nam met 12 procent af tot 5.828. Verder werden er 246 internationale onderzoeken onder de loep genomen.
Dat zijn onderzoeken die op het bordje van de DPC belanden, omdat het hoofdkantoor van een bedrijf in Ierland is gevestigd. De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat de toezichthouder van dat land -ook wel de Lead Supervisory Authority of leidende toezichthoudende autoriteit genoemd- dan een onderzoek moet instellen. Deze werkwijze wordt ook wel het one stop shop of één-loketmechanisme genoemd. De basis hiervoor is vastgelegd in artikel 55 en 56 van de AVG.
De DPC stelt dat zij verantwoordelijk is voor twee derde van alle AVG-gerelateerde boetes die vorig jaar zijn opgelegd in Europa. Dat komt omdat veel internationale techbedrijven in Dublin zijn ingeschreven. In nog eens twintig zaken was de DPC betrokken bij een internationaal onderzoek door een andere nationale toezichthouder.
Verreweg de meeste en hoogste boetes werden opgelegd aan Meta, het moederbedrijf van Facebook, Instagram en WhatsApp. In maart kreeg Facebook een boete van 17 miljoen euro voor een datalek uit 2018. De DPC deelde in september een boete van 405 miljoen euro uit aan Instagram voor het onzorgvuldig omspringen van gegevens van kinderen. In november kreeg Facebook te horen dat het een boete van 265 miljoen euro moest betalen voor het lekken van persoonsgegevens van 533 miljoen gebruikers.
Tot slot deelde de Ierse toezichthouder in december een boete van opgeteld 390 miljoen euro uit aan Meta voor het aanbieden van gepersonaliseerde advertenties zonder dat het bedrijf gebruikers expliciet hiervoor om toestemming had gevraagd. Facebook moet een bedrag van 210 miljoen euro op tafel leggen, Instagram een bedrag van 180 miljoen euro.
Het totale sanctiebedrag voor Meta in 2022 komt daarmee uit op 1,077 miljard euro.
Ondanks de hoge boetebedragen zijn de nationale toezichthouders uit andere EU-lidstaten behoorlijk kritisch over het optreden van de DPC. De Ierse privacywaakhond weigerde bijvoorbeeld aanvankelijk een onderzoek in te stellen naar WhatsApp toen de berichtendienst nieuwe algemene voorwaarden oplegde aan gebruikers. De toezichthouder meende dat de nieuwe voorwaarden noodzakelijk waren om de dienstverlening en beveiliging van de dienst te garanderen.
Pas na aandringen van de European Data Protection Board (EDPB), de koepelorganisatie waarin alle nationale toezichthouders in Europa zijn vertegenwoordigd, besloot de DPC in te grijpen. Ze deelde toen een boete van 5,5 miljoen euro uit aan WhatsApp. De berichtendienst maakte daarop bekend de sanctie aan te zullen vechten.
Noyb was niet te spreken over het eindoordeel en het boetebedrag. De Oostenrijkse privacystichting meende dat de DPC de kern van de zaak negeerde, namelijk of WhatsApp gebruikersgegevens mag verzamelen en delen met Facebook en Instagram om daar gerichte advertenties aan te bieden. Verder hield de DPC onvoldoende rekening met de inkomsten die Meta behaalde door jarenlang de AVG te overtreden. Max Schrems, voorzitter van Noyb, zei dat de Ierse toezichthouder een cadeau ter waarde van 4 miljard euro had uitgedeeld aan het Amerikaanse techbedrijf.
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-publishes-2022-annual-report
