глоба от 1,2 милиарда евро по GDPR за Meta заради масовото наблюдение в САЩ. Решението изискваше 10 години и 3 съдебни процедури срещу ирландската ДКД.
Днес десетилетното (2013 - 2023 г.) дело за участието на Meta в масовото наблюдение в САЩ доведе до първото пряко решение. Meta трябва да спре по-нататъшното прехвърляне на европейски лични данни към САЩ, като се има предвид, че Meta е обект на американските закони за наблюдение (като FISA 702). EDPB до голяма степен отмени решението на ирландския DPC, като настоя за рекордна глоба и за това, че предварително прехвърлените данни трябва да бъдат върнати обратно в ЕС.
- Тъй като множество медии нарушиха ембаргото на ДКП за 12:00 ч. централноевропейско време, следната информация вече не е ембаргова
- Съобщение за пресата на ирландския ДКП
- Решение на ЕЗПД по делото
Сериозен удар за Meta. Още след разкритията на Едуард Сноудън за големите технологични компании в САЩ, които подпомагат апарата за масово наблюдение на АНС, Facebook (сега Meta) беше обект на съдебен спор в Ирландия. В продължение на десет години Meta не е предприела никакви съществени предпазни мерки, а просто е игнорирала Съда на Европейския съюз (СЕС) и Европейския комитет по защита на данните (ЕКЗД). Сега Meta не само трябва да плати рекордната глоба от 1,2 млрд. евро, но и да върне всички лични данни в своите центрове за данни в ЕС.
Макс Шремс:"Щастливи сме да видим това решение след десет години съдебни спорове. Глобата можеше да бъде много по-висока, като се има предвид, че максималният размер на глобата е над 4 милиарда евро, а Meta съзнателно е нарушавала закона, за да реализира печалба в продължение на десет години. Ако законите за наблюдение в САЩ не бъдат коригирани, Meta ще трябва да преструктурира из основи своите системи."
FISA 702 подлежи на повторно утвърждаване. Сегашният конфликт между законите за защита на личните данни на ЕС и американските закони за наблюдение са проблем и за всички други големи доставчици на облачни услуги в САЩ, като Microsoft, Google или Amazon. Основният закон на САЩ за наблюдение (FISA 702) трябва да бъде повторно разрешен до декември 2023 г. Апетитът за съществени промени може да е по-голям за големите технологични компании в САЩ, сега когато има първа голяма глоба от органите за защита на данните на ЕС. Многобройни решения от Франция, Италия и Австрия признаха използването на услугите на САЩ за незаконно, но не наложиха голяма глоба.
Макс Шремс:"Най-простото решение би било разумни ограничения в американското законодателство за наблюдение. И от двете страни на Атлантическия океан има разбиране, че се нуждаем от вероятна причина и съдебно одобрение на наблюдението. Би било време тези основни защити да бъдат предоставени на клиентите на американските доставчици на облачни услуги от ЕС. Всеки друг голям американски доставчик на облачни услуги, като Amazon, Google или Microsoft, би могъл да бъде засегнат от подобно решение съгласно правото на ЕС."
Предишни нарушения - малко вероятно е успешно обжалване. Очакваме Мета да подаде жалба в ирландския и евентуално в европейския съд, но шансовете това решение да бъде съществено отменено са малки: Съдът на ЕС вече реши, че не е имало валидно правно основание за предаване на данни между ЕС и САЩ в два случая между 2007 г. и 2023 г. Не съществува и възможност всяко ново споразумение да узакони предишни нарушения на закона.
Макс Шремс:"Мета ще обжалва това решение, но няма реален шанс то да бъде отменено по същество. Предишните нарушения не могат да бъдат преодолени чрез нова сделка между ЕС и САЩ. В най-добрия случай Мета може да отложи за известно време плащането на глобата."
Бъдещи трансфери: Надеждите на Мета за ново споразумение между ЕС и САЩ са на колеблива основа. За всички бъдещи трансфери Мета сега се надява да премине към ново споразумение между ЕС и САЩ за трансфер на данни. Новата сделка вече се сблъска с остра критика от страна на Европейския парламент, но вероятно ще влезе в сила след лятото. Тези надежди обаче могат да бъдат разбити скоро. Не е изключено новото споразумение да бъде обявено за невалидно от Съда на ЕС - точно както двете предишни споразумения между ЕС и САЩ за предаване на данни ("Щит за поверителност" и "Безопасно пристанище"). Подобни обезсилвания имат ретроактивно действие.
Макс Шремс:"Мета планира да разчита на новото споразумение за трансфери занапред, но това вероятно не е постоянно решение. Помое мнение новата сделка има може би десетпроцентов шанс да не бъде унищожена от Съда на ЕС. Освен ако американските закони за наблюдение не бъдат поправени, Meta вероятно ще трябва да съхранява данните от ЕС в ЕС."
Десет години, три съдебни производства и милиони разходи за правни услуги. Ролята на ирландския ДКП в тази процедура е изключителна, тъй като той последователно се опитва да блокира продължаването на делото, като през 2013 г. отхвърля първоначалната жалба като "неоснователна" - което налага г-н Шремс да извърви целия път до Съда на ЕС. След това КЗД застъпва становището, че не може да предприеме действия, предвид факта, че Мета е използвала така наречените "стандартни договорни клаузи", което отново е отхвърлено от Съда на ЕС, който казва на КЗД, че трябва да предприеме действия. Накрая DPC се опита да предпази Meta от глоба и заличаване на вече прехвърлените данни, само за да бъде отхвърлен от ЕСП. Като цяло тези процедури водят до разходи от над 10 млн. евро - глобата обаче ще отиде в ирландската държава.
Макс Шремс: "Отне ни десет години съдебни спорове срещу ирландската ДСП, за да стигнем до този резултат. Трябваше да заведем три процедури срещу DPC и рискувахме да направим милиони процедурни разходи. Ирландският регулаторен орган направи всичко, за да избегне това решение, но беше последователно отхвърлен от европейските съдилища и институции. Донякъде е абсурдно, че рекордната глоба ще отиде в Ирландия - държавата членка на ЕС, която направи всичко, за да не бъде издадена тази глоба."
Период на изпълнение, без неминуемо спиране на услугите. По-рано Facebook/Meta разпространи слух, че ще спре да предоставя услуги в Европа. Като се има предвид, че Европа е далеч най-големият източник на приходи извън САЩ и Meta вече е изградила местни центрове за данни в ЕС, тези съобщения едва ли са достоверни. Дългосрочното решение изглежда е някаква форма на "федеративна социална мрежа", при която повечето лични данни ще останат в ЕС, а ще продължи само "необходимото" прехвърляне - например когато европеец изпрати директно съобщение на приятел от САЩ. Макар че Мета получи само кратък период за изпълнение, за да предложи решение, тя знаеше за правното положение от десет години и още през 2022 г. ѝ беше връчен проект на решение.
Макс Шремс:"Празните заплахи на Фейсбук, че ще спре услугите си в Европа, са смехотворни. Тя е далеч най-големият пазар за тях извън САЩ. Потенциален вариант за движение напред би бил "федеративна" социална мрежа, в която европейските данни остават в техните центрове за данни в Европа, освен ако потребителите не чатят с приятел от САЩ, например."
Възможно е да последва по-нататъшна лигитимация. Висящ колективен иск в Нидерландия. Съгласно неотдавнашно решение на Съда на ЕС потребителите може да могат да претендират и за емоционални щети за по-малки нарушения на правата им за защита на данните - например превръщането им в обект на масово наблюдение от страна на САЩ. Този ще доведе до искове, които могат да да надхвърлят значително днешната санкция. Например, холандската организация за защита на правата на потребителите Consumentenbond в момента набира холандски потребители на Facebook, които да предявят своите искове във връзка с предаването на данни между ЕС и САЩ. Без потребителите да поискат справедливо обезщетение, ние ще не не ще видим истинска промяна. Понастоящем властите не са много активни в прилагането на GDPR, така че организациите за защита на правата на потребителите и потребителите трябва да предприемат действия. По тази причина, Насърчавам всеки потребител на Facebook в Нидерландия да регистрира исканията си за евентуално обезщетение. Освен това това лято трябва да бъде приложена и Директивата на ЕС за колективните искове, която за първи път ще позволи колективни искове от европейски потребители за нарушения на GDPR.
Макс Шремс:"Това решение може да доведе до граждански съдебни дела срещу Meta в Европа. Товалято ЕС въвежда и нова система за "колективни искове", която може да се използва за нарушения на GDPR."