GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

1,2 mld kary dla Facebooka, co dalej z portalem?

Facebook na IPad i młotek sędziego

kara dla Facebooka za naruszenie RODO

22 maja 2023 r. irlandzki organ nadzoru (Data Protection Commission- DPC) ogłosił zakończenie postępowania wobec amerykańskiej spółki Meta (właściciela Facebooka) i nałożenie na nią olbrzymiej kary w wysokości 1,2 mld euro.

Max Schrems i transfery danych

Trwające od maja 2021 postępowanie rozpoczęło się na skutek słynnego wyroku TSUE w sprawie Schrems II, który dotyczył legalności transferu danych obywateli UE do USA. Meta po tym wyroku, przy transferach danych poza UE, opierała się na Standardowych Klauzulach Umownych (zaakceptowanych przez Komisję Europejską w 2021 r.) oraz wdrożyła dodatkowe zabezpieczenia w celu spełnienia wymagań opartych na ww. rozstrzygnięciu TSUE. Organizacja NOYB w następstwie wyroku Schrems II złożyła 101 wniosków o wszczęcie postępowań w sprawie transferów danych do USA. Właśnie jeden z takich wniosków zainicjował postępowanie w sprawie Mety.

Odpowiedzialność Facebook’a zależna od wyroku TSUE

Irlandia i EROD

Irlandzki organ nadzoru sporządził wstępny projekt decyzji w sprawie Meta już w czerwcu 2021 r. Stwierdzono wtedy, że transfery danych w ramach Facebooka naruszają art. 46 ust.1 RODO. Jednakże DPC (Data Protection Commission) postanowił wtedy skorzystać z art. 60 RODO pozwalającego na przeprowadzenie konsultacji z innymi europejskimi organami nadzorczymi. Organy te nie były w stanie ustalić wspólnego stanowiska. W związku z tym to Europejska Rada Ochrony Danych musiała dokonać finalnego rozstrzygnięcia. Organ 13 kwietnia 2023 r. wydał wiążącą decyzję, na podstawie której irlandzki organ miał oprzeć swoją decyzję. EROD podkreślała, że DPC w swoim rozstrzygnięciu powinno uwzględnić:

  1. wagę naruszenia, biorąc pod uwagę szczególnie duży zakres przetwarzania i bardzo dużą liczbę dotkniętych nim osób, a także długi czas trwania naruszenia, które nadal się nie zakończyło,
  2. Meta dopuściła się naruszenia art. 46 ust. 1 RODO przy najwyższym stopniu niedbalstwa,
  3. Meta ponosi wysoki stopień odpowiedzialności za naruszenie,
  4. szeroki zakres danych osobowych objętych naruszeniem,
  5. Facebook jest tak zaprojektowany, że nie jest możliwe zapewnienie usług w EOG, bez dokonywania transferów danych poza UE. Można, więc wnioskować, że znaczna cześć przychodów z Facebooka związana jest z naruszeniem RODO.

Norweski organ nadzorczy usuwa się z Facebooka

Zabezpieczenia

W swojej decyzji DPC stwierdził, że obecnie prawo USA nie zapewnia odpowiedniego poziomu ochrony danych osobowych w takim samym stopniu jak prawo europejskie. Ponadto wskazano, że Standardowe Klauzule Umowne z 2010 r. i 2021 r. nie mogą zrekompensować nieadekwatnych zabezpieczeń prawa USA. Podobnie jest z zabezpieczeniami wdrożonymi przez Meta. Stosowanie m.in. standardowych w branży algorytmów i protokołów szyfrowania, takich jak Transport Layer Security („TLS”) i Advanced Encryption Standard („AES”), aby chronić dane przesyłane między prywatną infrastrukturą Facebooka a sieciami publicznymi nie jest wystarczające. Jak podkreśla DPC, jeśli Meta otrzyma żądanie od rządu USA na podstawie sekcji 702 FISA (Foreign Intelligence Surveillance Act) to nie ma przeszkód dla wydania służbom danych osobowych obywateli UE.

Kara w wysokości 500 000 funtów nałożona na Facebooka

Rekordowa kara i nie tylko

Posiłkując się decyzją EROD, irlandzki organ nadzoru w swojej decyzji wobec Mety nałożył administracyjną karę pieniężną w wysokości 1,2 miliarda euro, czyli w przeliczeniu około 5 376 000 000,00 złotych. Nie jest to jednak koniec złych wiadomości dla Mety. DPC jednocześnie nakazał doprowadzenie operacji przetwarzania do zgodności z rozdziałem V RODO, poprzez zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania, w USA danych osobowych użytkowników z Europy – w ciągu 6 miesięcy od powiadomienia o ostatecznej decyzji. Ponadto Meta ma 12 tygodni na zawieszenia transferów danych. W ciągu tego okresu spółka ma konsultować się z DPC w sprawie osiągnięcia celu.

 

Co dalej z Facebookiem?

Decyzja irlandzkiego organu nadzoru niesie ze sobą poważne konsekwencje. Oznacza także widmo potencjalnego zaprzestania funkcjonowania platformy w UE za 6 miesięcy, co jednak oznaczałoby utratę znacznego dochodu dla spółki (sięgającego miliardów euro).  Meta nie będzie mogła jednak w prosty sposób sprawić, że przetwarzanie będzie zgodne z RODO. Być może będzie zmuszona do wydzielenia części Facebooka w Europie. Sama decyzja może również być jedynie początkiem serii kolejnych wysokich kar, ponieważ w Europie wciąż trwają postępowania rozpoczęte 101 wnioskami NOYB.

 

Źródła:

https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland

https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf