1,2 miljardin euron GDPR-sakko Metalle Yhdysvaltain massavalvonnan vuoksi. Päätös vaati 10 vuotta ja 3 oikeudenkäyntiä Irlannin tietosuojaviranomaista vastaan.
Kymmenen vuotta (2013-2023) kestänyt tapaus, joka koski Metan osallisuutta Yhdysvaltojen massavalvontaan, on nyt johtanut ensimmäiseen suoraan päätökseen. Metan on lopetettava eurooppalaisten henkilötietojen siirrot Yhdysvaltoihin, koska Meta on Yhdysvaltojen valvontalakien (kuten FISA 702) alainen. EDPB oli kumonnut Irlannin tietosuojaneuvoston päätöksen ja vaatinut ennätyssuuria sakkoja sekä sitä, että aiemmin siirretyt tiedot on palautettava EU:hun.
- Koska useat tiedotusvälineet ovat rikkoneet DPC:n saartoa kello 12:00 CET, seuraavat tiedot eivät ole enää saartoa
- Irlannin tietosuojaneuvoston lehdistötiedote
- EDPB:n päätös asiassa
Merkittävä isku Metalle. Edward Snowdenin paljastettua, että yhdysvaltalaiset suuryritykset ovat auttaneet NSA:n joukkovalvontakoneistoa, Facebook (nykyisin Meta) oli oikeudenkäynnin kohteena Irlannissa. Kymmenen vuoden ajan Meta ei ole ryhtynyt mihinkään olennaisiin varotoimiin, vaan on yksinkertaisesti jättänyt huomiotta Euroopan yhteisöjen tuomioistuimen (CJEU) ja Euroopan tietosuojaneuvoston (EDPB). Nyt Meta joutuu maksamaan ennätyssuuren 1,2 miljardin euron sakon, ja sen on myös palautettava kaikki henkilötiedot EU:n tietokeskuksiinsa.
Max Schrems:"Olemme iloisia tästä päätöksestä kymmenen vuotta kestäneen oikeudenkäynnin jälkeen. Sakko olisi voinut olla paljon suurempi, koska enimmäissakko on yli 4 miljardia ja Meta on tietoisesti rikkonut lakia saadakseen voittoa kymmenen vuoden ajan. Ellei Yhdysvaltain valvontalakia korjata, Metan on rakennettava järjestelmänsä perusteellisesti uudelleen."
FISA 702 -laki on hyväksyttävä uudelleen. Nykyinen ristiriita EU:n yksityisyydensuojalakien ja Yhdysvaltojen valvontalakien välillä on ongelma myös kaikille muille suurille yhdysvaltalaisille pilvipalvelujen tarjoajille, kuten Microsoftille, Googlelle tai Amazonille. Yhdysvaltain valvontalaki (FISA 702) on hyväksyttävä uudelleen joulukuuhun 2023 mennessä. Halukkuus olennaisiin muutoksiin voi olla suurempi Yhdysvaltojen suurten teknologiayritysten kohdalla, kun EU:n tietosuojaviranomaiset ovat nyt saaneet ensimmäisen suuren sakon. Lukuisat päätökset Ranska, Italia ja Itävalta totesivat yhdysvaltalaisten palvelujen käytön laittomaksi, mutta eivät määränneet suuria sakkoja.
Max Schrems: "Yksinkertaisin ratkaisu olisi kohtuulliset rajoitukset Yhdysvaltojen valvontalainsäädännössä. Atlantin molemmin puolin ollaan yhtä mieltä siitä, että valvontaan tarvitaan todennäköinen syy ja tuomioistuimen hyväksyntä. Olisi aika myöntää nämä perussuojat yhdysvaltalaisten pilvipalveluntarjoajien EU:n asiakkaille. Mikä tahansa muu suuri yhdysvaltalainen pilvipalveluntarjoaja, kuten Amazon, Google tai Microsoft, voisi joutua samanlaisen päätöksen kohteeksi EU:n lainsäädännön nojalla."
Aiemmat rikkomukset - valituksen menestyminen epätodennäköistä. Odotamme, että Meta hakee muutosta Irlannin ja mahdollisesti myös Euroopan unionin tuomioistuimissa, mutta mahdollisuudet saada tämä päätös olennaisesti kumottua ovat vähäiset: EUT on jo päättänyt, että EU:n ja Yhdysvaltojen välisille tiedonsiirroille ei ollut pätevää oikeusperustaa kahdessa tapauksessa vuosina 2007-2023. Mikään uusi sopimus ei myöskään voi laillistaa aiempia lainrikkomuksia.
Max Schrems:"Meta aikoo valittaa tästä päätöksestä, mutta ei ole mitään todellista mahdollisuutta saada tätä päätöstä olennaisesti kumottua. Aiempia rikkomuksia ei voida korjata uudella EU:n ja Yhdysvaltojen välisellä sopimuksella. Meta voi parhaimmillaankin lykätä sakon maksamista hieman."
Tulevat siirrot: Metan toiveet uudesta EU:n ja Yhdysvaltojen välisestä sopimuksesta horjuvat. Kaikissa tulevissa siirroissa Meta toivoo nyt siirtymistä uuteen EU:n ja Yhdysvaltojen väliseen tiedonsiirtosopimukseen. Uusi sopimus on jo saanut osakseen kovaa kritiikkiä Euroopan parlamentiltamutta se tulee todennäköisesti voimaan kesän jälkeen. Toiveet saattavat kuitenkin pian murtua. Ei ole epätodennäköistä, että EU:n tuomioistuin mitätöi uuden sopimuksen - aivan kuten kaksi aiempaa EU:n ja Yhdysvaltojen välistä sopimusta ("Privacy Shield" ja "Safe Harbor"). Tällaisilla mitätöinneillä on takautuva vaikutus.
Max Schrems:"Meta aikoo käyttää uutta sopimusta siirtojen osalta jatkossa, mutta tämä ei todennäköisesti ole pysyvä ratkaisu. Mielestäniuudella sopimuksella on ehkä kymmenen prosentin mahdollisuus siihen, että EU:n tuomioistuin ei tee sitä tyhjäksi. Ellei Yhdysvaltain valvontalakia saada korjattua, Metan on todennäköisesti pidettävä EU:n tiedot EU:ssa."
Kymmenen vuotta, kolme oikeudenkäyntiä ja miljoonien oikeudenkäyntikulut. Irlannin tietosuojaviranomaisen rooli tässä menettelyssä on poikkeuksellinen, sillä se on johdonmukaisesti yrittänyt estää tapauksen etenemisen, ja vuonna 2013 se hylkäsi alkuperäisen valituksen "kevytmielisenä" - mikä pakotti Schremsin viemään asian aina EU:n tuomioistuimeen asti. Sen jälkeen DPC katsoi, ettei se voi ryhtyä toimiin, koska Meta käytti niin sanottuja "vakiosopimuslausekkeita", minkä EU:n tuomioistuin hylkäsi jälleen, ja kertoi DPC:lle, että sen on ryhdyttävä toimiin. Lopuksi tietosuojaneuvosto yritti suojella Metaa sakolta ja jo siirrettyjen tietojen poistamiselta, mutta Euroopan tietosuojaneuvosto hylkäsi sen. Kaiken kaikkiaan nämä menettelyt aiheuttavat yli 10 miljoonan euron kustannukset - sakko menee kuitenkin Irlannin valtiolle.
Max Schrems: "Kesti kymmenen vuotta käydä oikeudenkäyntejä Irlannin tietosuojaviranomaisen kanssa, ennen kuin pääsimme tähän tulokseen. Jouduimme käynnistämään kolme menettelyä DPC:tä vastaan ja riskeerasimme miljoonia oikeudenkäyntikuluja. Irlannin sääntelyviranomainen on tehnyt kaikkensa välttääkseen tämän päätöksen, mutta EU:n tuomioistuimet ja toimielimet ovat johdonmukaisesti kumonneet sen. On tavallaan absurdia, että ennätyssakko menee Irlannille - EU:n jäsenvaltiolle, joka teki kaikkensa varmistaakseen, että tätä sakkoa ei anneta."
Täytäntöönpanoaika, ei palvelujen välitöntä lopettamista. Aiemmin Facebook/Meta levitti huhua, että se lopettaisi palvelujen tarjoamisen Euroopassa. Kun otetaan huomioon, että Eurooppa on ylivoimaisesti suurin tulonlähde Yhdysvaltojen ulkopuolella ja Meta on jo rakentanut paikallisia datakeskuksia EU:hun, nämä ilmoitukset tuskin ovat uskottavia. Pitkän aikavälin ratkaisu näyttäisi olevan jonkinlainen "federoitu sosiaalinen verkosto", jossa suurin osa henkilötiedoista pysyisi EU:ssa, mutta vain "välttämättömät" siirrot jatkuisivat - esimerkiksi kun eurooppalainen lähettää suoran viestin yhdysvaltalaiselle ystävälleen. Vaikka Meta sai vain lyhyen täytäntöönpanoajan ratkaisun löytämiseksi, se tiesi oikeudellisesta tilanteesta kymmenen vuotta, ja sille toimitettiin päätösluonnos jo vuonna 2022.
Max Schrems: "Facebookin tyhjät uhkaukset siitä, että se lopettaa palvelut Euroopassa, ovat naurettavia. Se on heille ylivoimaisesti suurin markkina-alue Yhdysvaltojen ulkopuolella. Mahdollinen vaihtoehto jatkossa olisi 'federoitu' sosiaalinen verkosto, jossa eurooppalaiset tiedot pysyvät heidän datakeskuksissaan Euroopassa, elleivät käyttäjät esimerkiksi chattaile yhdysvaltalaisen ystävänsä kanssa."
Jatkossa voi tulla lisää ligitaatiota. Alankomaissa on vireillä ryhmäkanne. EU:n tuomioistuimen hiljattain antaman tuomion mukaan käyttäjät voivat myös vaatia henkistä kärsimystä pienemmistä tietosuojaoikeuksien loukkauksista - kuten Yhdysvaltojen massavalvonnan kohteeksi joutumisesta. Tämä on johtaa vaatimuksiin, jotka voivat olla paljon nykyistä rangaistusta suuremmat. Esimerkiksi, hollantilainen kuluttajaoikeusjärjestö Consumentenbond on parhaillaan värväämässä hollantilaisia Facebook-käyttäjiä esittämään vaatimuksiaan EU:n ja Yhdysvaltojen välisistä tiedonsiirroista. Jos käyttäjät eivät vaadi oikeudenmukaista korvausta, tulemme ei nähdä todellista muutosta. Viranomaiset eivät ole tällä hetkellä kovin aktiivisia GDPR:n täytäntöönpanossa, joten kuluttajaoikeusjärjestöjen ja käyttäjien on ryhdyttävä toimiin. Tästä syystä, Kannustan jokaista Facebookin käyttäjää Alankomaissa rekisteröimään mahdolliset vahingonkorvausvaatimukset. Lisäksi EU:n kollektiivisia oikeussuojakeinoja koskeva direktiivi on pantava täytäntöön tänä kesänä, mikä mahdollistaa ensimmäistä kertaa eurooppalaisten käyttäjien kollektiiviset kanteet GDPR:n rikkomuksista.
Max Schrems:"Tämä päätös voi johtaa siviilioikeudenkäynteihin Metaa vastaan Euroopassa.Tänä kesänä EU ottaa käyttöön myös uuden 'ryhmäkannejärjestelmän', jota voidaan käyttää GDPR:n rikkomuksiin."