Irlandzka Komisja Ochrony Danych w sprawie wyroku dla Meta: tu chodzi o coś więcej niż pieniądze
Meta, spółka macierzysta Facebooka, została ukarana rekordową kwotą 1,2 mld euro przez irlandzki organ regulacyjny za naruszenie unijnych przepisów dotyczących ochrony danych.
Irlandzka Komisja Ochrony Danych (DPC), która działa w imieniu UE, nałożyła na Meta grzywnę za „dalsze przekazywanie danych osobowych” użytkowników z Europejskiego Obszaru Gospodarczego (EOG) do USA z naruszeniem przepisów RODO. DPC zakazał również Facebookowi (ale nie innym firmom Meta, takim jak Instagram) przesyłania danych osobowych użytkowników do USA w przyszłości. Firma ma teraz pięć miesięcy do zaprzestania przesyłania danych i sześć miesięcy do usunięcia danych, które już wysłała.
Co zrobił Facebook?
W skrócie, gdy Facebook pobiera dane osobowe od swoich klientów w UE i przekazuje je do USA, dane mogą być potencjalnie udostępniane amerykańskim służbom wywiadowczym. Umowa o nazwie Privacy Shield pozwalała na transfer danych użytkowników z UE do firm w USA do 2020 r. po wcześniejszej weryfikacji danego podmiotu, kiedy Trybunał Sprawiedliwości UE ustalił, że tak naprawdę umowa ta nie chroni danych użytkowników z UE przed amerykańskim nadzorem. Jednak Facebook nadal przekazywał dane osobowe użytkowników z UE nawet po unieważnieniu Privacy Shield, co zapoczątkowało dochodzenie unijnych organów regulacyjnych.
Decyzja irlandzkiej komisji czy EROD?
Przodownikami w wyznaczaniu kierunku dla europejskiej ochrony danych osobowych są Niemcy w parze z Francją. To właśnie te państwa zgłosiły zastrzeżenia do oryginalnej decyzji irlandzkiej komisji. Zastrzeżenia pojawiły się jeszcze ze strony organu estońskiego i austriackiego, jednak strona polska nie znalazła się wśród autorów zastrzeżeń.
Decyzja irlandzkiego organu regulacyjnego pierwotnie nie obejmowała nakazu zwrotu lub usunięcia danych przekazanych przez Meta do USA z naruszeniem RODO. Francja i Niemcy sprzeciwiły się tej propozycji, argumentując, że jedynym sposobem na pełne egzekwowanie RODO jest nakaz dostosowania przetwarzania danych do przepisów.
Bowiem dzięki karze potencjalnie unikniemy sytuacji, w której administratorzy, przekazujący dane osobowe do Stanów Zjednoczonych, dojdą do wniosku, że koszt kontynuowania bezprawnej praktyki przewyższa oczekiwane konsekwencje naruszenia i będą mniej skłonni do przestrzegania RODO.
W wyniku tej decyzji mamy rekordową karę i nakaz dostosowania przetwarzania danych do przepisów RODO w terminie 6 miesięcy. Ta sprawa stanowi kolejny przykład na to, że w Europie nie istnieje jedna spójna interpretacja GDRP, czyli RODO, a raczej 27 różnych interpretacji jednego prawa. Większość postępowań nadal będzie rozstrzygana na poziomie krajowym, z brakiem spójności na poziomie europejskim.
Kompania Zuckerberga światowym rekordzistą
Dzięki tej grzywnie Facebook będzie niechlubnym rekordzistą największej w historii grzywny wydanej przez UE, przewyższając Amazon, który został ukarany grzywną w wysokości 746 milionów euro w związku z (surprise) naruszeniem RODO w 2021 roku.
„Ta decyzja jest błędna, nieuzasadniona i stanowi niebezpieczny precedens dla niezliczonych innych firm przekazujących dane między UE a USA” – mówią Nick Clegg, prezes ds. spraw ogólnoświatowych i dyrektor prawny Jennifer Newstead w oświadczeniu. Meta planuje odwołać się od decyzji.
Jeśli Meta zostanie zmuszona do zaprzestania przesyłania danych użytkowników przez Atlantyk, firma będzie musiała przeprowadzić kosztowną i złożoną przebudowę swoich centrów operacyjnych. Według strony internetowej firma posiada flotę 21 centrów danych, ale 17 z nich znajduje się w Stanach Zjednoczonych. Trzy inne są w europejskich krajach Danii, Irlandii i Szwecji. Kolejny jest w Singapurze.
Jak to wpływa na Twoją firmę?
Grzywna w wysokości 1,2 miliarda jest zaskakująca, ale ocena i decyzja o zawieszeniu transferu danych Meta ma wpływ na transfer danych Twojej firmy do USA.
Spoiler: Trudniej jest teraz uzasadnić transfer nawet w oparciu o klauzule umowne z 2021 roku.
Rozporządzenie wykonawcze US z października minionego roku nie może jeszcze stanowić podstawy do przekazywania danych: ani UE nie została wyznaczona jako „państwo kwalifikujące”, ani system dochodzenia roszczeń nie został w pełni wdrożony. Artykuł 49 ust. 1 RODO również nie może uzasadniać systematycznego, masowego, powtarzalnego i ciągłego przekazywania danych użytkowników z UE do USA.
Administrator musi podjąć środki, które „kompensują” brak ochrony danych w państwie trzecim, a nie takie, które alternatywnie „eliminują” lub „łagodzą” braki. Ponieważ same klauzule umowne 2021 nie mogą zrekompensować braków w prawie amerykańskim, wymagane są środki ochronne i uzupełniające w celu “zrekompensowania”. Zabezpieczenia i środki uzupełniające Meta, w tym szybkie powiadamianie o żądaniach rządu amerykańskiego, szyfrowanie danych podczas przesyłania, inne środki prawne nie rekompensowały niedoborów, co skończyło się karą.
