grzywna w wysokości 1,2 mld euro dla Meta za masową inwigilację w USA. Decyzja wymagała 10 lat i 3 postępowań sądowych przeciwko irlandzkiemu DPC.
Dzisiaj, trwająca dekadę (2013-2023) sprawa dotycząca zaangażowania firmy Meta w masową inwigilację w USA doprowadziła do podjęcia pierwszej bezpośredniej decyzji. Meta musi zaprzestać dalszego przekazywania europejskich danych osobowych do Stanów Zjednoczonych, biorąc pod uwagę, że Meta podlega amerykańskim przepisom dotyczącym nadzoru (takim jak FISA 702). EDPB w dużej mierze uchyliła decyzję irlandzkiego DPC, nalegając na rekordową grzywnę i na to, że wcześniej przekazane dane muszą zostać sprowadzone z powrotem do UE.
- Ponieważ wiele mediów złamało embargo nałożone przez DPC na godzinę 12:00 czasu środkowoeuropejskiego, następujące informacje nie są już objęte embargiem
- Komunikat prasowy irlandzkiego DPC
- Decyzja EDPB w sprawie
Poważny cios dla firmy Meta. Od czasu ujawnienia przez Edwarda Snowdena informacji na temat amerykańskich wielkich technologii wspomagających aparat masowej inwigilacji NSA, Facebook (obecnie Meta) był przedmiotem sporu sądowego w Irlandii. Przez dziesięć lat Meta nie podjęła żadnych istotnych środków ostrożności, ale po prostu ignorowała Europejski Trybunał Sprawiedliwości (TSUE) i Europejską Radę Ochrony Danych (EDPB). Teraz Meta musi nie tylko zapłacić rekordową grzywnę w wysokości 1,2 miliarda euro, ale także zwrócić wszystkie dane osobowe do swoich centrów danych w UE.
Max Schrems: "Cieszymy się ztej decyzji po dziesięciu latach sporów sądowych.Grzywna mogła być znacznie wyższa, biorąc pod uwagę, że maksymalna grzywna wynosi ponad 4 miliardy euro, a Meta świadomie łamała prawo, aby zarabiać przez dziesięć lat. Jeśli amerykańskie przepisy dotyczące inwigilacji nie zostaną naprawione, Meta będzie musiała gruntownie zrestrukturyzować swoje systemy"
FISA 702 podlega ponownej autoryzacji. Obecny konflikt między unijnymi przepisami dotyczącymi prywatności a amerykańskimi przepisami dotyczącymi nadzoru stanowi również problem dla wszystkich innych dużych amerykańskich dostawców usług w chmurze, takich jak Microsoft, Google czy Amazon. Podstawowe amerykańskie prawo dotyczące inwigilacji (FISA 702) musi zostać ponownie zatwierdzona do grudnia 2023 r. Apetyt na istotne zmiany może być większy w przypadku dużych amerykańskich firm technologicznych, gdzie pojawiła się pierwsza poważna grzywna ze strony unijnych organów ochrony danych. Liczne decyzje wydane przez Francji, Włoch i Austrii uznały korzystanie z amerykańskich usług za niezgodne z prawem, ale nie nałożyły na nie wysokiej grzywny.
Max Schrems:"Najprostszym rozwiązaniem byłyby rozsądne ograniczenia w amerykańskim prawie dotyczącym inwigilacji.Po obu stronach Atlantyku panuje zgoda co do tego, że inwigilacja wymaga uzasadnionej przyczyny i zgody sądu. Nadszedłby czas, aby przyznać te podstawowe zabezpieczenia unijnym klientom amerykańskich dostawców usług w chmurze. Każdy inny duży amerykański dostawca usług w chmurze, taki jak Amazon, Google czy Microsoft, mógłby zostać objęty podobną decyzją na mocy prawa UE"
Wcześniejsze naruszenia - mało prawdopodobna skuteczna apelacja. Spodziewamy się, że Meta złoży odwołanie do irlandzkich i potencjalnie europejskich sądów, jednak szanse na istotne obalenie tej decyzji są niewielkie: TSUE zdecydował już, że nie było ważnej podstawy prawnej do przekazywania danych między UE a USA w dwóch sprawach w latach 2007-2023. Nie ma również możliwości, aby jakakolwiek nowa umowa zalegalizowała wcześniejsze naruszenia prawa.
Max Schrems:"Meta odwoła się od tej decyzji, ale nie ma realnej szansy na jej istotne uchylenie. Wcześniejsze naruszenia nie mogą zostać przezwyciężone przez nową umowę UE-USA. Meta może co najwyżej nieco opóźnić zapłatę grzywny"
Przyszłe transfery: Nadzieje firmy Meta na nową umowę UE-USA na chwiejnym gruncie. W przypadku wszystkich przyszłych transferów Meta ma teraz nadzieję na przejście na nową umowę o transferze danych między UE a USA. Nowa umowa spotkała się już z ostrą krytyką ze strony Parlamentu Europejskiegoale prawdopodobnie wejdzie w życie po wakacjach. Nadzieje te mogą jednak zostać wkrótce rozwiane. Niewykluczone, że nowa umowa zostanie unieważniona przez TSUE - podobnie jak dwie poprzednie umowy między UE a USA ("Tarcza Prywatności" i "Bezpieczna Przystań"). Takie unieważnienia mają moc wsteczną.
Max Schrems:"Meta planuje polegać na nowej umowie w zakresie transferów w przyszłości, ale prawdopodobnie nie jest to trwałe rozwiązanie. Moim zdaniem nowa umowa ma może dziesięć procent szans na to, że nie zostanie unicestwiona przez TSUE. Dopóki amerykańskie przepisy dotyczące nadzoru nie zostaną naprawione, Meta prawdopodobnie będzie musiała przechowywać dane UE w UE"
Dziesięć lat, trzy postępowania sądowe i miliony kosztów prawnych. Rola irlandzkiego DPC w tej procedurze jest wyjątkowa, ponieważ konsekwentnie próbował zablokować dalszy bieg sprawy, w 2013 r. odrzucając pierwotną skargę jako "niepoważną" - co wymagało od pana Schremsa udania się aż do TSUE. Następnie DPC uznało, że nie może podjąć działań, biorąc pod uwagę, że Meta wykorzystała tak zwane "standardowe klauzule umowne", co zostało ponownie odrzucone przez TSUE, który powiedział DPC, że musi podjąć działania. Wreszcie, DPC próbował uchronić Metę przed grzywną i usunięciem danych, które zostały już przekazane, tylko po to, by zostać obalonym przez EROD. W sumie procedury te doprowadziły do kosztów w wysokości ponad 10 milionów euro - grzywna zostanie jednak nałożona na państwo irlandzkie.
Max Schrems: "Dojściedo tego wyniku zajęło nam dziesięć lat sporów sądowych przeciwko irlandzkiemu DPC. Musieliśmy wszcząć trzy postępowania przeciwko DPC i ryzykowaliśmy milionowe koszty proceduralne. Irlandzki regulator zrobił wszystko, aby uniknąć tej decyzji, ale był konsekwentnie obalany przez europejskie sądy i instytucje. To trochę absurdalne, że rekordowa grzywna trafi do Irlandii - państwa członkowskiego UE, które zrobiło wszystko, aby zapewnić, że ta grzywna nie zostanie nałożona"
Okres wdrażania, brak nieuchronnego zatrzymania usług. Wcześniej Facebook / Meta rozpowszechnił plotkę, że przestanie świadczyć usługi w Europie. Biorąc pod uwagę, że Europa jest zdecydowanie największym źródłem dochodów poza Stanami Zjednoczonymi, a Meta zbudowała już lokalne centra danych w UE, zapowiedzi te są mało wiarygodne. Długoterminowym rozwiązaniem wydaje się być jakaś forma "sfederowanej sieci społecznościowej", w której większość danych osobowych pozostałaby w UE, podczas gdy tylko "niezbędne" transfery byłyby kontynuowane - na przykład, gdy Europejczyk wysyła bezpośrednią wiadomość do znajomego z USA. Podczas gdy Meta otrzymała tylko krótki okres na wdrożenie rozwiązania, wiedziała o sytuacji prawnej od dziesięciu lat i już w 2022 r. otrzymała projekt decyzji.
Max Schrems:"Puste groźby Facebooka, że zaprzestanie świadczenia usług w Europie, są śmieszne. Jest to dla nich zdecydowanie największy rynek poza Stanami Zjednoczonymi. Potencjalną opcją na przyszłość byłaby "sfederowana" sieć społecznościowa, w której dane europejskie pozostają w centrach danych w Europie, chyba że użytkownicy rozmawiają na przykład ze znajomymi z USA"
Mogą nastąpić dalsze ograniczenia. Oczekujący pozew zbiorowy w Holandii. Zgodnie z niedawnym wyrokiem TSUE użytkownicy mogą również ubiegać się o odszkodowanie emocjonalne za mniejsze naruszenia ich praw do ochrony danych - takie jak poddanie ich masowej inwigilacji w USA. To będzie prowadzić do roszczeń, które mogą znacznie przekraczać dzisiejsze kary. Na przykład, holenderska organizacja Consumentenbond, zajmująca się prawami konsumentów, zapisuje obecnie holenderskich użytkowników Facebooka do wnoszenia roszczeń w związku z transferem danych między UE a USA. Bez użytkowników domagających się uczciwej rekompensaty, nie będziemy w stanie nie żadnej prawdziwej zmiany. Władze nie są obecnie zbyt aktywne w egzekwowaniu RODO, więc organizacje zajmujące się prawami konsumentów i użytkownicy muszą podjąć działania. Z tego powodu, Zachęcam każdego użytkownika Facebooka w Holandii do zarejestrowania swoich roszczeń o ewentualne odszkodowanie. Co więcej, tego lata należy również wdrożyć unijną dyrektywę w sprawie zbiorowego dochodzenia roszczeń, która po raz pierwszy umożliwi europejskim użytkownikom składanie pozwów zbiorowych w związku z naruszeniami RODO.
Max Schrems:"Decyzja ta może doprowadzić do sporów cywilnych przeciwko firmie Meta w Europie. Tego lata UE wdroży również nowy system "pozwów zbiorowych", który może być wykorzystywany w przypadku naruszeń RODO"