Deset let (2013-2023) trvající řízení o zapojení společnosti Meta do masového sledování v USA dnes vedlo k prvnímu přímému rozhodnutí. Společnost Meta musí zastavit jakékoli další předávání evropských osobních údajů do Spojených států, protože Meta podléhá americkým zákonům o sledování (např. FISA 702). EDPB z velké části zrušil rozhodnutí irské DPC a trval na rekordní pokutě a na tom, že dříve předané údaje musí být vráceny zpět do EU.
Velká rána pro společnost Meta. Od doby, kdy Edward Snowden odhalil, že americké velké technologické společnosti napomáhají masovému sledovacímu aparátu NSA, byla společnost Facebook (nyní Meta) v Irsku předmětem soudního sporu. Po dobu deseti let společnost Meta nepřijala žádné podstatné opatření, ale jednoduše ignorovala Evropský soudní dvůr (ESD) a Evropský sbor pro ochranu osobních údajů (EDPB). Nyní musí Meta nejen zaplatit rekordní pokutu ve výši 1,2 miliardy eur, ale také vrátit všechny osobní údaje do svých datových center v EU.
Max Schrems: "Jsme rádi, že jsme se po deseti letech soudních sporů dočkali tohoto rozhodnutí. Pokuta mohla být mnohem vyšší, vzhledem k tomu, že maximální výše pokuty je více než 4 miliardy a společnost Meta deset let vědomě porušovala zákon, aby dosáhla zisku. Pokud se americké zákony o sledování neupraví, bude muset společnost Meta zásadně restrukturalizovat své systémy."
FISA 702 podléhá opětovnému schválení. Současný rozpor mezi zákony EU o ochraně soukromí a americkými zákony o dohledu je problémem i pro všechny ostatní velké americké poskytovatele cloudových služeb, jako jsou Microsoft, Google nebo Amazon. Základní americký zákon o sledování (FISA 702) musí být znovu schválen do prosince 2023. Chuť k podstatným změnám může být větší u velkých technologických firem v USA, kde nyní došlo k první velké pokutě od orgánů EU pro ochranu údajů. Četná rozhodnutí z Francie, Itálie a Rakouska shledaly využívání služeb USA nezákonným, ale neuložily jim vysokou pokutu.
Max Schrems: "Nejjednodušší nápravou by byla rozumná omezení v americkém zákoně o sledování. Na obou stranách Atlantiku panuje shoda v tom, že ke sledování potřebujeme pravděpodobný důvod a soudní schválení. Bylo by načase poskytnout tyto základní ochrany i zákazníkům amerických poskytovatelů cloudových služeb v EU. Jakýkoli jiný velký americký poskytovatel cloudu, jako je Amazon, Google nebo Microsoft, by mohl být postižen podobným rozhodnutím podle práva EU."
Porušení předpisů v minulosti - úspěšné odvolání je nepravděpodobné. Očekáváme, že společnost Meta podá odvolání k irskému a případně i evropskému soudu, nicméně šance, že by toto rozhodnutí bylo materiálně zvráceno, jsou nízké: Soudní dvůr EU již rozhodl, že pro předávání údajů mezi EU a USA neexistoval platný právní základ ve dvou případech v letech 2007 až 2023. Neexistuje ani možnost, aby jakákoli nová dohoda legalizovala předchozí porušení práva.
Max Schrems: "Meta se proti tomuto rozhodnutí odvolá, ale neexistuje žádná reálná šance, že by toto rozhodnutí bylo materiálně zvráceno. Porušování práva v minulosti nelze překonat novou dohodou mezi EU a USA. Meta může nanejvýš o něco odložit zaplacení pokuty."
Budoucí převody: Naděje společnosti Meta na novou dohodu mezi EU a USA jsou na vratkých základech. Pro všechny budoucí přenosy nyní Meta doufá, že přejde na novou dohodu mezi EU a USA o přenosu dat. Nová dohoda již čelila ostré kritice ze strany Evropského parlamentu, ale pravděpodobně vstoupí v platnost po létě. Tyto naděje však mohou být brzy zmařeny. Není nepravděpodobné, že novou dohodu Soudní dvůr EU zruší - stejně jako dvě předchozí dohody mezi EU a USA o předávání údajů ("Privacy Shield" a "Safe Harbor"). Takovéto zneplatnění má zpětnou účinnost.
Max Schrems: "Meta se plánuje při předávání údajů do budoucna spoléhat na novou dohodu, ale pravděpodobně se nejedná o trvalé řešení. Podle mého názoru má nová dohoda možná desetiprocentní šanci, že ji Soudní dvůr EU nezruší. Pokud nedojde k nápravě amerických zákonů o dohledu, bude společnost Meta pravděpodobně muset uchovávat údaje z EU v EU."
Deset let, tři soudní řízení a milionové náklady na právní služby. Role irské DPC v tomto řízení je výjimečná, protože se soustavně snažila zablokovat pokračování případu, v roce 2013 zamítla původní stížnost jako "frivolní" - což si vyžádalo, aby se pan Schrems dostal až k Soudnímu dvoru EU. DPC poté zaujala stanovisko, že nemůže jednat, vzhledem k tomu, že Meta využila tzv. standardních smluvních doložek, což opět odmítl SDEU, který DPC sdělil, že musí jednat. Nakonec se DPC pokusilo ochránit společnost Meta před pokutou a vymazáním již předaných údajů, jen aby to EDPB zrušil. Celkově tyto postupy vedly k nákladům ve výši více než 10 milionů eur - pokuta však připadne irskému státu.
Max Schrems: "Trvalo nám deset let soudních sporů s irskou DPC, než jsme dospěli k tomuto výsledku. Museli jsme proti DPC vést tři řízení a riskovali jsme milionové náklady řízení. Irský regulační orgán dělal vše pro to, aby se tomuto rozhodnutí vyhnul, ale evropské soudy a instituce ho důsledně rušily. Je poněkud absurdní, že rekordní pokutu dostane Irsko - členský stát EU, který udělal vše pro to, aby tato pokuta nebyla udělena."
Období provádění, žádné imanentní zastavení služeb. Dříve Facebook/Meta šířil fámu, že přestane poskytovat služby v Evropě. Vzhledem k tomu, že Evropa je zdaleka největším zdrojem příjmů mimo USA a Meta již v EU vybudovala místní datová centra, jsou tato oznámení stěží uvěřitelná. Dlouhodobým řešením se zdá být nějaká forma "federativní sociální sítě", kde by většina osobních údajů zůstala v EU, zatímco by pokračovaly pouze "nezbytné" přenosy - například když Evropan pošle přímou zprávu příteli z USA. Meta sice dostala jen krátkou dobu na implementaci, aby přišla s řešením, ale o právní situaci věděla deset let a návrh rozhodnutí jí byl doručen již v roce 2022.
Max Schrems: "Prázdné výhrůžky Facebooku, že zastaví služby v Evropě, jsou směšné. Je to pro ně zdaleka největší trh mimo USA. Jednou z možných variant dalšího postupu by byla "federovaná" sociální síť, kde by evropská data zůstala v jejich datových centrech v Evropě, pokud by uživatelé například nekomunikovali s americkým přítelem."
Další ligace může následovat. Probíhá hromadná žaloba v Nizozemsku. Podle nedávného rozsudku Soudního dvora EU mohou uživatelé také požadovat citové odškodnění za menší porušení svých práv na ochranu údajů - například za to, že se stanou předmětem masového sledování ze strany USA. To povede k nárokům, které mohou daleko přesáhnout dnešní pokutu. Např, nizozemská organizace na ochranu práv spotřebitelů Consumentenbond v současné době přihlašuje nizozemské uživatele Facebooku, aby vznesli své nároky v souvislosti s předáváním údajů mezi EU a USA. Bez toho, aby uživatelé požadovali spravedlivou kompenzaci, se skutečné změny nedočkáme. Úřady v současné době nejsou při prosazování GDPR příliš aktivní, takže organizace na ochranu práv spotřebitelů a uživatelé musí jednat. Z tohoto důvodu, vyzýváme každého uživatele Facebooku v Nizozemsku, aby zaregistroval své nároky na případnou náhradu škody. Kromě toho musí být letos v létě implementována také směrnice EU o kolektivním odškodnění, která poprvé umožní kolektivní žaloby evropských uživatelů za porušení GDPR.
Max Schrems: "Toto rozhodnutí může vést k občanskoprávním sporům proti společnosti Meta v Evropě. Letos v létě EU rovněž zavede nový systém "hromadných žalob", který bude možné využít v případě porušení GDPR."
