Πρόστιμο 1,2 δισεκατομμυρίων ευρώ GDPR για τη Meta λόγω μαζικής επιτήρησης των ΗΠΑ. Η απόφαση απαιτούσε 10 χρόνια και 3 δικαστικές διαδικασίες κατά της Irish DPC.
Σήμερα, μια δεκαετής υπόθεση (2013 - 2023) σχετικά με την εμπλοκή του Μέτα στη μαζική παρακολούθηση των ΗΠΑ οδήγησε σε μια πρώτη άμεση απόφαση. Η Meta πρέπει να σταματήσει κάθε περαιτέρω διαβίβαση ευρωπαϊκών προσωπικών δεδομένων στις Ηνωμένες Πολιτείες, δεδομένου ότι η Meta υπόκειται στους νόμους περί επιτήρησης των ΗΠΑ (όπως το FISA 702). Το EDPB είχε ανατρέψει σε μεγάλο βαθμό την απόφαση της ιρλανδικής DPC, επιμένοντας σε πρόστιμο ρεκόρ και ότι τα δεδομένα που είχαν μεταφερθεί προηγουμένως πρέπει να επιστραφούν στην ΕΕ.
- Καθώς πολλά μέσα ενημέρωσης έχουν παραβιάσει το εμπάργκο του DPC για τις 12:00 CET, οι ακόλουθες πληροφορίες δεν υπόκεινται πλέον σε εμπάργκο
- Δελτίο Τύπου της ιρλανδικής DPC
- Απόφαση EDPB στην υπόθεση
Σημαντικό πλήγμα για τον Μέτα. Από τις αποκαλύψεις του Έντουαρντ Σνόουντεν σχετικά με τη βοήθεια της μεγάλης τεχνολογίας των ΗΠΑ στη συσκευή μαζικής παρακολούθησης της NSA, το Facebook (τώρα Meta) ήταν αντικείμενο δικαστικών διαδικασιών στην Ιρλανδία. Επί δέκα χρόνια, η Meta δεν έχει λάβει καμία ουσιαστική προφύλαξη, αλλά απλώς αγνόησε το Ευρωπαϊκό Δικαστήριο (ΔΕΕ) και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB). Τώρα η Meta όχι μόνο πρέπει να πληρώσει πρόστιμο ρεκόρ ύψους 1,2 δισεκατομμυρίων ευρώ, αλλά πρέπει επίσης να επιστρέψει όλα τα προσωπικά δεδομένα στα κέντρα δεδομένων της στην ΕΕ.
Μαξ Σρεμς: "Είμαστε χαρούμενοι που βλέπουμε αυτήν την απόφαση μετά από δέκα χρόνια δικαστικής διαμάχης. Το πρόστιμο θα μπορούσε να ήταν πολύ υψηλότερο, δεδομένου ότι το μέγιστο πρόστιμο είναι πάνω από 4 δισεκατομμύρια και η Meta παραβίασε εν γνώσει του το νόμο για να αποκομίσει κέρδη για δέκα χρόνια . Αν δεν διορθωθούν οι νόμοι περί επιτήρησης των ΗΠΑ, η Meta θα πρέπει να αναδιαρθρώσει ριζικά τα συστήματά της».
Το FISA 702 υπόκειται σε επανέγκριση. Η τρέχουσα σύγκρουση μεταξύ της νομοθεσίας περί απορρήτου της ΕΕ και της νομοθεσίας περί επιτήρησης των ΗΠΑ αποτελεί επίσης πρόβλημα για όλους τους άλλους μεγάλους παρόχους cloud των ΗΠΑ, όπως η Microsoft, η Google ή η Amazon. Ο υποκείμενος νόμος περί επιτήρησης των ΗΠΑ (FISA 702) πρέπει να εγκριθεί εκ νέου έως τον Δεκέμβριο του 2023 . Η όρεξη για υλικές αλλαγές μπορεί να είναι μεγαλύτερη για τις μεγάλες τεχνολογίες των ΗΠΑ, τώρα όπου υπάρχει το πρώτο μεγάλο πρόστιμο από τις αρχές προστασίας δεδομένων της ΕΕ. Πολλές αποφάσεις από τη Γαλλία , την Ιταλία και την Αυστρία έκριναν παράνομη τη χρήση των υπηρεσιών των ΗΠΑ, αλλά δεν περιλάμβαναν σημαντικό πρόστιμο.
Max Schrems: " Η απλούστερη λύση θα ήταν οι λογικοί περιορισμοί στη νομοθεσία περί επιτήρησης των ΗΠΑ. Υπάρχει κατανόηση και στις δύο πλευρές του Ατλαντικού ότι χρειαζόμαστε πιθανή αιτία και δικαστική έγκριση της επιτήρησης. Θα ήταν καιρός να παραχωρήσουμε αυτές τις βασικές προστασίες στους πελάτες της ΕΕ Οι πάροχοι cloud των ΗΠΑ. Οποιοσδήποτε άλλος μεγάλος πάροχος cloud στις ΗΠΑ, όπως η Amazon, η Google ή η Microsoft θα μπορούσε να χτυπηθεί με παρόμοια απόφαση βάσει της νομοθεσίας της ΕΕ."
Προηγούμενες παραβάσεις - απίθανη επιτυχής ένσταση . Αναμένουμε ότι η Meta θα καταθέσει προσφυγή στα ιρλανδικά και ενδεχομένως στα Ευρωπαϊκά Δικαστήρια, ωστόσο οι πιθανότητες να ανατραπεί ουσιαστικά αυτή η απόφαση είναι μικρές: Το ΔΕΕ έχει ήδη αποφασίσει ότι δεν υπήρχε έγκυρη νομική βάση για διαβιβάσεις δεδομένων ΕΕ-ΗΠΑ σε δύο υποθέσεις μεταξύ 2007 και 2023. Επίσης, δεν υπάρχει επιλογή για οποιαδήποτε νέα συμφωνία για τη νομιμοποίηση προηγούμενων παραβιάσεων του νόμου.
Max Schrems: " Η Meta θα ασκήσει έφεση για αυτήν την απόφαση, αλλά δεν υπάρχει πραγματική πιθανότητα να ανατραπεί ουσιαστικά αυτή η απόφαση. Οι προηγούμενες παραβιάσεις δεν μπορούν να ξεπεραστούν με μια νέα συμφωνία ΕΕ-ΗΠΑ. Η Meta μπορεί στην καλύτερη περίπτωση να καθυστερήσει την πληρωμή του προστίμου για λίγο. ”
Μελλοντικές μεταγραφές: Οι ελπίδες του Μέτα για νέα συμφωνία ΕΕ-ΗΠΑ σε ασταθές έδαφος. Για όλες τις μελλοντικές μεταφορές, η Meta ελπίζει τώρα να στραφεί σε μια νέα συμφωνία μεταφοράς δεδομένων ΕΕ-ΗΠΑ. Η νέα συμφωνία έχει ήδη αντιμετωπίσει σκληρή κριτική από το Ευρωπαϊκό Κοινοβούλιο , αλλά πιθανότατα θα τεθεί σε ισχύ μετά το καλοκαίρι. Ωστόσο, αυτές οι ελπίδες ενδέχεται να διαλυθούν σύντομα. Δεν είναι απίθανο η νέα συμφωνία να ακυρωθεί από το ΔΕΕ - όπως και οι δύο προηγούμενες συμφωνίες δεδομένων ΕΕ-ΗΠΑ ("Privacy Shield" και "Safe Harbor"). Τέτοιες ακυρώσεις έχουν αναδρομική ισχύ.
Μαξ Σρεμς: "Ο Μέτα σχεδιάζει να βασιστεί στη νέα συμφωνία για τις μελλοντικές μεταγραφές, αλλά αυτό πιθανότατα δεν είναι μια μόνιμη λύση. Κατά την άποψή μου, η νέα συμφωνία έχει ίσως δέκα τοις εκατό πιθανότητες να μην σκοτωθεί από το ΔΕΕ. Εκτός εάν η αμερικανική επιτήρηση οι νόμοι διορθώνονται, η Meta πιθανότατα θα πρέπει να διατηρήσει τα δεδομένα της ΕΕ στην ΕΕ ."
Δέκα χρόνια, τρεις δικαστικές διαδικασίες και εκατομμύρια δικαστικά έξοδα. Ο ρόλος της ιρλανδικής DPC σε αυτή τη διαδικασία είναι εξαιρετικός, καθώς προσπάθησε με συνέπεια να εμποδίσει τη διεξαγωγή της υπόθεσης, το 2013 απέρριψε την αρχική καταγγελία ως «επιπόλαιη» – απαιτώντας από τον κ. Schrems να πάει μέχρι το ΔΕΕ. Στη συνέχεια, το DPC έκρινε ότι δεν μπορεί να λάβει μέτρα, δεδομένου ότι η Meta έκανε χρήση των αποκαλούμενων «Τυπικών συμβατικών ρητρών», η οποία απορρίφθηκε και πάλι από το ΔΕΕ, το οποίο είπε στο DPC ότι πρέπει να λάβει μέτρα. Τέλος, το DPC προσπάθησε να θωρακίσει το Meta από πρόστιμο και διαγραφή δεδομένων που έχουν ήδη μεταφερθεί, απλώς και μόνο για να ανατραπούν από το EDPB. Συνολικά αυτές οι διαδικασίες οδηγούν σε κόστος άνω των 10 εκατομμυρίων ευρώ - το πρόστιμο, ωστόσο, θα βαρύνει το ιρλανδικό κράτος.
Μαξ Σρεμς: « Μας πήρε δέκα χρόνια δικαστικής διαμάχης κατά της ιρλανδικής DPC για να φτάσουμε σε αυτό το αποτέλεσμα. Έπρεπε να κινήσουμε τρεις διαδικασίες κατά του DPC και κινδυνεύαμε με εκατομμύρια διαδικαστικά έξοδα. Η ιρλανδική ρυθμιστική αρχή έκανε τα πάντα για να αποφύγει αυτή την απόφαση, αλλά ανατράπηκε με συνέπεια από τα Ευρωπαϊκά Δικαστήρια και τα θεσμικά όργανα . Είναι κάπως παράλογο το πρόστιμο ρεκόρ να πάει στην Ιρλανδία - το κράτος μέλος της ΕΕ που έκανε τα πάντα για να διασφαλίσει ότι αυτό το πρόστιμο δεν θα εκδοθεί».
Περίοδος υλοποίησης, καμία επικείμενη διακοπή των υπηρεσιών. Προηγουμένως, το Facebook / Meta διέδωσε τη φήμη ότι θα σταματήσει να παρέχει υπηρεσίες στην Ευρώπη. Δεδομένου ότι η Ευρώπη είναι μακράν η μεγαλύτερη πηγή εισοδήματος εκτός των ΗΠΑ και η Meta έχει ήδη δημιουργήσει τοπικά κέντρα δεδομένων στην ΕΕ, αυτές οι ανακοινώσεις είναι ελάχιστα αξιόπιστες. Η μακροπρόθεσμη λύση φαίνεται να είναι κάποια μορφή «ομοσπονδιακού κοινωνικού δικτύου» όπου τα περισσότερα προσωπικά δεδομένα θα παρέμεναν στην ΕΕ, ενώ μόνο οι «απαραίτητες» διαβιβάσεις θα συνεχίζονταν - για παράδειγμα όταν ένας Ευρωπαίος στέλνει ένα άμεσο μήνυμα σε έναν φίλο των ΗΠΑ. Ενώ η Meta είχε μόνο μια σύντομη περίοδο εφαρμογής για να βρει μια λύση, γνώριζε για τη νομική κατάσταση για δέκα χρόνια και είχε ήδη επιδοθεί με σχέδιο απόφασης το 2022.
Max Schrems: "Οι κενές απειλές του Facebook ότι θα σταματήσει τις υπηρεσίες στην Ευρώπη είναι αστείες. Είναι μακράν η μεγαλύτερη αγορά για αυτούς εκτός των ΗΠΑ. Η πιθανή επιλογή να προχωρήσουμε θα ήταν ένα "ομοσπονδιακό" κοινωνικό δίκτυο, όπου τα ευρωπαϊκά δεδομένα παραμένουν τα κέντρα δεδομένων τους στην Ευρώπη, εκτός εάν οι χρήστες συνομιλούν με έναν φίλο των ΗΠΑ, για παράδειγμα .
Μπορεί να ακολουθήσει περαιτέρω δικαστική διαδικασία. Εκκρεμεί ομαδική αγωγή στην Ολλανδία. Σύμφωνα με μια πρόσφατη απόφαση του ΔΕΕ, οι χρήστες ενδέχεται επίσης να μπορούν να διεκδικήσουν συναισθηματική ζημία για μικρότερες παραβιάσεις των δικαιωμάτων προστασίας δεδομένων τους - όπως η μαζική παρακολούθηση των ΗΠΑ. Αυτό θα οδηγήσει σε αξιώσεις που μπορεί να ξεπεράσουν κατά πολύ τη σημερινή ποινή. Για παράδειγμα, η ολλανδική οργάνωση για τα δικαιώματα των καταναλωτών Consumentenbond εγγράφει επί του παρόντος Ολλανδούς χρήστες του Facebook για να υποβάλουν τις αξιώσεις τους σχετικά με τις μεταφορές δεδομένων ΕΕ-ΗΠΑ . Χωρίς οι χρήστες να ζητήσουν δίκαιη αποζημίωση, δεν θα δούμε καμία πραγματική αλλαγή. Οι αρχές δεν είναι επί του παρόντος πολύ ενεργές όσον αφορά την επιβολή του GDPR, επομένως οι οργανώσεις για τα δικαιώματα των καταναλωτών και οι χρήστες πρέπει να αναλάβουν δράση. Για αυτόν τον λόγο, ενθαρρύνω κάθε χρήστη του Facebook στην Ολλανδία να δηλώσει τις αξιώσεις του για πιθανές ζημιές. Επιπλέον, η Οδηγία Συλλογικής Προσφυγής της ΕΕ πρέπει επίσης να εφαρμοστεί αυτό το καλοκαίρι, η οποία θα επιτρέψει για πρώτη φορά συλλογικές ενέργειες από Ευρωπαίους χρήστες για παραβιάσεις του GDPR.
Max Schrems: "Αυτή η απόφαση μπορεί να οδηγήσει σε αστικές αγωγές κατά της Meta στην Ευρώπη. Αυτό το καλοκαίρι η ΕΕ εφαρμόζει επίσης ένα νέο σύστημα "ταξικής δράσης", το οποίο μπορεί να χρησιμοποιηθεί για παραβιάσεις του GDPR ."