Irlandzka Komisja Ochrony Danych (DPC) nałożyła na Meta Platforms Ireland Limited karę 1,2 miliarda euro za bezprawne przekazywanie danych do USA

Tło decyzji

Kontrola DPC dotycząca Meta Platforms Ireland Limited rozpoczęła się w sierpniu 2020 r. DPC po przeprowadzeniu tej kontroli wydała wstępną decyzję, w której stwierdziła, że transfery danych dokonywane pomiędzy spółką Meta Platforms Ireland Limited z siedzibą w Dublinie, a jej amerykańską spółką-matką, Meta Platforms, Inc., są realizowane z naruszeniem art. 46 ust. 1 RODO. Organ nadzorczy stwierdził, że międzynarodowy transfer danych osobowych powinien zostać zawieszony.

 

Transfery te były realizowane na podstawie umowy o międzynarodowym przekazywaniu i przetwarzaniu danych między Meta Platforms Ireland Limited, a jej amerykańskim odpowiednikiem, która opierała się na Standardowych Klauzulach Umownych (SCC) Komisji Europejskiej z 2021 r. Obie spółki przeprowadziły ocenę skutków dla ochrony danych (DPIA) i wprowadziły odpowiednie środki techniczne oraz organizacyjne w celu zapewnienia odpowiedniej ochrony danych.

 

Następnie wstępna decyzja DPC została przedstawiona jej partnerom w EOG, czyli zainteresowanym organom nadzorczym, zgodnie z procedurą współpracy na podstawie art. 60 RODO. W ramach tej procedury nie osiągnięto konsensusu. Następnie sprawa trafiła do Europejskiej Rady Ochrony Danych. EROD rozpoczęła proces rozstrzygania sporów na podstawie art. 65 RODO.

 

Ustalenia DPC

DPC stwierdziła, że Meta Platforms Ireland Limited naruszyła art. 46 ust. 1 RODO w odniesieniu do przekazywania danych osobowych z UE do USA, po wydaniu wyroku przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II.

 

DPC zauważyła, że chociaż transfery odbywały się na podstawie zaktualizowanych SCC z 2021 r., wraz z dodatkowymi środkami uzupełniającymi wdrożonymi przez Meta Platforms Ireland Limited, to środki te nie były wystarczające, aby zminimalizować ryzyka dla podstawowych praw i wolności osób, których dane dotyczą.

 

DPC wskazała, że:

  • prawo amerykańskie nie zapewnia odpowiedniego poziomu ochrony, który powinien być równoważny z ochroną zapewnioną przez prawo UE;
  • ani SCC z 2010 r., ani SCC z 2021 r. nie mogły zrekompensować niewystarczającej ochrony zapewnionej przez prawo amerykańskie;
  • Meta Platforms Ireland Limited nie ma prawa polegać na wyjątkach legalizujących międzynarodowe przekazywanie danych w szczególnych sytuacjach, które zostały przewidziane w art. 49 ust. 1 RODO.

 

Zastosowane środki zaradcze

DPC zastosowała wobec Meta Platforms Ireland Limited następujące środki naprawcze:

  • nałożenie kary pieniężnej w wysokości 1,2 miliarda euro;
  • nakazanie zaprzestania bezprawnego przetwarzania danych osobowych obywateli UE, których dane były przekazywane 
  • nakazanie zaprzestania bezprawnego przetwarzania, w tym przechowywania w USA danych osobowych użytkowników z UE w ciągu sześciu miesięcy od daty powiadomienia administratora o decyzji
  • zawieszenie przyszłych transferów danych osobowych do USA w ciągu pięciu miesięcy od daty powiadomienia administratora o decyzji.

 

Stanowisko Europejskiej Rady Ochrony Danych

22 maja 2023 r. EROD wydała komunikat prasowy dotyczący decyzji DPC o nałożeniu kary i nakazu przestrzegania przepisów na Meta Platforms Ireland Limited. Rada wskazała, że w swojej wiążącej decyzji z 13 kwietnia 2023 r. poinstruowała DPC w zakresie nałożenia kary na administratora ze względu na powagę naruszenia przepisów RODO. EROD poleciła DPC nakazanie administratorowi doprowadzenia operacji przetwarzania do zgodności z Rozdziałem V RODO, poprzez zaprzestanie bezprawnego przetwarzania, w tym przechowywania w USA danych osobowych.

 

EROD zauważył, że ostateczna decyzja DPC uwzględnia ocenę prawną Rady w jej wiążącej decyzji, przyjętej na podstawie artykułu 65(1)(a) RODO, po tym jak DPC, jako główny organ nadzorczy, zainicjowała procedurę rozstrzygania sporów dotyczących sprzeciwów zgłoszonych przez CSA.

 

Niniejsza decyzja stanowi istotny precedens dla przyszłych kwestii związanych z ochroną danych i transferem danych pomiędzy krajami i firmami działającymi na terenie Unii Europejskiej i Stanów Zjednoczonych. W kontekście debaty na temat prywatności i bezpieczeństwa, może to również mieć istotny wpływ na przyszłe decyzje dotyczące wewnętrznych zasad ochrony danych osobowych w wielu innych firmach i instytucjach.

 

W przypadku jakichkolwiek pytań lub wątpliwości zachęcamy do kontaktu z naszą Kancelarią. Zespół doświadczonych prawników udzieli Państwu szczegółowych informacji dotyczących ochrony danych osobowych, przeprowadzi audyty zgodności, przeszkoli personel, przygotuje odpowiednią dokumentację z zakresu ochrony danych osobowych.

 

Przygotowali:

Piotr Sawicki
adwokat

Damian Grodziński
aplikant adwokacki

udostępnij:

podobne artykuły