Ma egy évtizedes (2013-2023) ügy, amely a Meta amerikai tömeges megfigyelésben való részvételével kapcsolatos, az első közvetlen döntéshez vezetett. A Meta köteles leállítani az európai személyes adatok további továbbítását az Egyesült Államokba, mivel a Meta az amerikai megfigyelési törvények (pl. FISA 702) hatálya alá tartozik. Az EDPB nagyrészt hatályon kívül helyezte az ír DPC döntését, ragaszkodva a rekordösszegű bírsághoz, és ahhoz, hogy a korábban továbbított adatokat vissza kell szállítani az EU-ba.
Súlyos csapás a Meta számára. Mióta Edward Snowden felfedte, hogy az amerikai nagyvállalatok segítik az NSA tömeges megfigyelési apparátusát, a Facebook (ma Meta) ellen Írországban peres eljárás indult. A Meta tíz éven keresztül semmilyen érdemi óvintézkedést nem tett, hanem egyszerűen figyelmen kívül hagyta az Európai Bíróságot (EUB) és az Európai Adatvédelmi Testületet (EDPB). Most a Metának nemcsak rekordösszegű, 1,2 milliárd eurós bírságot kell fizetnie, hanem vissza kell szolgáltatnia az összes személyes adatot az uniós adatközpontjaiba.
Max Schrems: "Örömmel látjuk ezt a döntést tíz évnyi pereskedés után. A bírság sokkal magasabb is lehetett volna, mivel a maximális bírság több mint 4 milliárd, és a Meta tíz éven keresztül tudatosan megszegte a törvényt, hogy profitot termeljen. Hacsak az amerikai megfigyelési törvények nem javulnak, a Meta-nak alapvetően át kell alakítania rendszereit."
A FISA 702 újbóli felhatalmazás tárgyát képezi. Az uniós adatvédelmi törvények és az amerikai megfigyelési törvények közötti jelenlegi konfliktus az összes többi nagy amerikai felhőszolgáltató, például a Microsoft, a Google vagy az Amazon számára is problémát jelent. Az alapul szolgáló amerikai megfigyelési törvény (FISA 702) 2023 decemberéig újra kell engedélyezni. Az amerikai nagyvállalatok számára nagyobb lehet az étvágy az érdemi változtatásokra, most, hogy az EU adatvédelmi hatóságai először szabtak ki jelentős bírságot. Számos határozat a Franciaország, Olaszország és a Ausztria jogellenesnek találták az amerikai szolgáltatások igénybevételét, de nem szabtak ki jelentős bírságot.
Max Schrems: "A legegyszerűbb megoldás az amerikai megfigyelési törvény ésszerű korlátozása lenne. Az Atlanti-óceán mindkét partján egyetértés van abban, hogy a megfigyeléshez valószínűsíthető okra és bírói jóváhagyásra van szükség. Itt lenne az ideje, hogy az amerikai felhőszolgáltatók uniós ügyfeleinek is megadjuk ezeket az alapvető védelmeket. Az uniós jog alapján bármely más nagy amerikai felhőszolgáltatót, például az Amazont, a Google-t vagy a Microsoftot is hasonló döntéssel lehetne sújtani"."
Korábbi jogsértések - sikeres fellebbezés nem valószínű. Arra számítunk, hogy a Meta fellebbezést nyújt be az ír és potenciálisan az európai bíróságokhoz, azonban kicsi az esélye annak, hogy ez a döntés érdemben megdőljön: Az EUB már két esetben is úgy döntött, hogy az EU-USA adattovábbításnak nem volt érvényes jogalapja 2007 és 2023 között. Arra sincs lehetőség, hogy bármely új megállapodás legalizálja a korábbi jogszabálysértéseket.
Max Schrems: "A Meta fellebbezni fog a döntés ellen, de nincs reális esély arra, hogy ezt a döntést érdemben megváltoztassák. A korábbi jogsértéseket nem lehet felülírni egy új EU-USA megállapodással. A Meta legfeljebb egy kicsit el tudja halasztani a bírság kifizetését."
Jövőbeli átutalások: A Meta új EU-USA megállapodáshoz fűzött reményei ingatag lábakon állnak. A Meta most azt reméli, hogy a jövőbeni átutalások esetében egy új EU-USA adattovábbítási megállapodásra tér át. Az új megállapodás az Európai Parlament máris éles kritikával illettede valószínűleg a nyár után lép hatályba. Ezek a remények azonban hamarosan szertefoszolhatnak. Nem valószínűtlen, hogy az új megállapodást az Európai Unió Bírósága érvényteleníti - akárcsak a két korábbi EU-USA adatátviteli megállapodást ("Adatvédelmi pajzs" és "Biztonságos kikötő"). Az ilyen érvénytelenítések visszamenőleges hatállyal bírnak.
Max Schrems: "A Meta azt tervezi, hogy a jövőben az új megállapodásra támaszkodik az adattovábbítás során, de ez valószínűleg nem végleges megoldás. Véleményem szerint az új megállapodásnak talán tíz százalék esélye van arra, hogy az EUB nem fogja megsemmisíteni. Hacsak az amerikai felügyeleti törvények nem kerülnek rögzítésre, a Meta valószínűleg kénytelen lesz az EU-s adatokat az EU-ban tartani."
Tíz év, három bírósági eljárás és milliós jogi költségek. Az ír DPC szerepe ebben az eljárásban kivételes, mivel következetesen megpróbálta megakadályozni az ügy folytatását. 2013-ban az eredeti panaszt "komolytalanként" elutasította - így Schrems úrnak egészen az EUB-ig kellett mennie. A DPC ezután arra az álláspontra helyezkedett, hogy nem léphet fel, mivel a Meta úgynevezett "általános szerződési záradékokat" alkalmazott, amit az EUB ismét elutasított, és közölte a DPC-vel, hogy fel kell lépnie. Végül a DPC megpróbálta megóvni a Metát a bírságtól és a már továbbított adatok törlésétől, csak hogy az EDPB megdöntse. Összességében ezek az eljárások több mint 10 millió eurós költséget okoztak - a bírságot azonban az ír állam kapja.
Max Schrems: "Tíz évnyi pereskedésbe telt az ír adatvédelmi hatósággal szemben, hogy eljussunk ehhez az eredményhez. Három eljárást kellett indítanunk a DPC ellen, és több millió eljárási költséget kockáztattunk. Az ír szabályozó hatóság mindent megtett, hogy elkerülje ezt a döntést, de az európai bíróságok és intézmények következetesen elutasították. Elég abszurd, hogy a rekordösszegű bírságot Írország kapja - az az uniós tagállam, amely mindent megtett annak érdekében, hogy ez a bírság ne kerüljön kiszabásra."
Végrehajtási időszak, nincs immanens szolgáltatásleállás. Korábban a Facebook / Meta azt a pletykát terjesztette, hogy leállítja a szolgáltatások nyújtását Európában. Tekintettel arra, hogy Európa messze a legnagyobb bevételi forrás az Egyesült Államokon kívül, és a Meta már épített helyi adatközpontokat az EU-ban, ezek a bejelentések aligha hihetőek. A hosszú távú megoldásnak egyfajta "föderált közösségi hálózat" tűnik, ahol a legtöbb személyes adat az EU-ban maradna, és csak a "szükséges" adatátvitel folytatódna - például amikor egy európai közvetlen üzenetet küld egy amerikai barátjának. Bár a Meta csak egy rövid végrehajtási időszakot kapott a megoldás kidolgozására, tíz éve tudott a jogi helyzetről, és már 2022-ben kézhez kapott egy határozattervezetet.
Max Schrems: "Nevetségesek a Facebook üres fenyegetései, hogy leállítják a szolgáltatásokat Európában. Az Egyesült Államokon kívül messze ez a legnagyobb piacuk. Az egyik lehetséges lehetőség a jövőben egy "föderált" közösségi hálózat lenne, ahol az európai adatok az európai adatközpontjaikban maradnak, kivéve, ha a felhasználók például egy amerikai barátjukkal csevegnek."
További ligitások következhetnek. Függőben lévő csoportos kereset Hollandiában. Az EUB egy nemrégiben hozott ítélete értelmében a felhasználók érzelmi kártérítést is követelhetnek az adatvédelmi jogaik kisebb mértékű megsértése miatt - például az amerikai tömeges megfigyelés tárgyává tétele miatt. Ez olyan követelésekhez vezethet, amelyek jóval meghaladhatják a mai büntetést. Például, a Consumentenbond holland fogyasztóvédelmi szervezet jelenleg a holland Facebook-felhasználókat regisztrálja, hogy az EU-USA adattovábbítással kapcsolatos követeléseiket benyújthassák. Anélkül, hogy a felhasználók méltányos kártérítést követelnének, nem fogunk valódi változást látni. A hatóságok jelenleg nem túl aktívak a GDPR érvényesítésében, ezért a fogyasztóvédelmi szervezeteknek és a felhasználóknak kell lépniük. Emiatt, minden hollandiai Facebook-felhasználót arra bátorítunk, hogy jelezze az esetleges kártérítési igényét. Ezen túlmenően idén nyáron végre kell hajtani az EU kollektív jogorvoslati irányelvét is, amely először teszi majd lehetővé az európai felhasználók kollektív keresetét a GDPR megsértése miatt.
Max Schrems: "Ez a döntés a Meta elleni polgári peres eljárásokhoz vezethet Európában. Idén nyáron az EU egy új "csoportos kereset" rendszert is bevezet, amely a GDPR megsértése esetén alkalmazható."
