Meta, właściciel największej na świecie platformy mediów społecznościowych, ma zapłacić 1,2 mld euro za naruszenie RODO poprzez przesyłanie danych osobowych użytkowników Facebooka z Unii Europejskiej do Stanów Zjednoczonych.
Irlandzki urząd ochrony danych (DPC) nakazał też cyfrowemu gigantowi wstrzymanie transferu danych osobowych za ocean. Meta ma na to pięć miesięcy. A po kolejnym miesiącu musi zaprzestać przetwarzania (w tym przechowywania) w USA wysłanych tam wcześniej danych użytkowników z UE.
Przez lata przesyłanie danych odbywało się na podstawie ramowych porozumień między Unią a USA. Ostatnie z nich – Tarczę prywatności – Trybunał Sprawiedliwości UE unieważnił jednak w 2020 r., uznając, że na terenie USA dane osobowe nie są chronione równie dobrze jak w UE, gdyż agencje wywiadowcze mają do nich zbyt łatwy dostęp (sprawa Schrems II). Od tego czasu transfer odbywa się na podstawie tzw. standardowych klauzul umownych. Irlandzki regulator stwierdził jednak, że stosowane przez Facebooka klauzule „nie uwzględniały zagrożeń dla podstawowych praw i wolności” zidentyfikowanych w wyroku TSUE.
Ogłoszona wczoraj kara jest najwyższą wymierzoną w UE za naruszenie RODO. Poprzednim rekordem było 746 mln euro kary nałożone na Amazon w Luksemburgu w 2021 r. Irlandzki urząd nie chciał wymierzać kary, ale musiał się podporządkować decyzji Europejskiej Rady Ochrony Danych z kwietnia br. Przez pięć lat obowiązywania unijnych przepisów o ochronie danych DPC ukarał serwisy Mety łącznie na 2,5 mld euro.
Amerykańska spółka zapowiada odwołanie się od decyzji regulatora. Jak podaje Reuters, Meta określiła karę jako „nieuzasadnioną i niepotrzebną” i stwierdziła, że to „niebezpieczny precedens dla niezliczonych innych firm ”.
Austriacki obrońca prywatności Max Schrems uważa, że kara mogłaby być wyższa (górna granica to ponad 4 mld euro), gdyż „Meta świadomie łamała prawo” dla zysku. Założona przez Schremsa organizacja NOYB walczyła z Facebookiem o ochronę danych osobowych od 10 lat. Gdy jeszcze przed wprowadzeniem RODO, w 2013 r., Max Schrems złożył na giganta skargę do DPC, urząd odrzucił ją jako „niepoważną”. Schrems nie odpuścił i doprowadził sprawę aż do TSUE.
Teraz zgadza się z cyfrowym gigantem, że za obecną decyzją regulatora mogą pójść kolejne, także w innych krajach Unii. – Każdy inny duży amerykański dostawca usług w chmurze, jak Amazon, Google czy Microsoft, może zostać dotknięty podobną decyzją – stwierdza Max Schrems. – Najprostszym rozwiązaniem byłyby rozsądne ograniczenia w amerykańskim prawie dotyczącym inwigilacji – uważa.
Meta liczy, że zanim minie termin na zaprzestanie transferu, zostanie zawarta nowa umowa ramowa, pozwalająca przekazywać dane osobowe z Unii za ocean. „Brak możliwości przesyłania danych ponad granicami grozi podziałem internetu na krajowe i regionalne silosy” – ostrzega firma w swoim oświadczeniu.
Nad nową umową ze Stanami Zjednoczonymi pracują obecnie władze Unii: Komisja, Rada i parlament. Ten ostatni niedawno przyjął jednak uchwałę, w której stwierdza, że w obecnym kształcie projekt porozumienia nie zapewnia w USA poziomu ochrony danych równoważnego z unijnym. ©℗
