Desať rokov (2013 - 2023) trvajúci prípad zapojenia spoločnosti Meta do masového sledovania v USA dnes viedol k prvému priamemu rozhodnutiu. Spoločnosť Meta musí zastaviť akékoľvek ďalšie prenosy európskych osobných údajov do Spojených štátov vzhľadom na to, že spoločnosť Meta podlieha americkým zákonom o sledovaní (napríklad FISA 702). EDPB z veľkej časti zrušil rozhodnutie írskeho DPC, pričom trval na rekordnej pokute a na tom, že predtým prenesené údaje sa musia vrátiť späť do EÚ.
Veľký úder pre spoločnosť Meta. Od odhalenia Edwarda Snowdena o amerických veľkých technologických spoločnostiach, ktoré pomáhajú masovému sledovaciemu aparátu NSA, bola spoločnosť Facebook (teraz Meta) v Írsku predmetom súdneho sporu. Počas desiatich rokov spoločnosť Meta neprijala žiadne materiálne opatrenie, ale jednoducho ignorovala Európsky súdny dvor (ESD) a Európsky výbor pre ochranu údajov (EDPB). Teraz Meta nielenže musí zaplatiť rekordnú pokutu vo výške 1,2 miliardy eur, ale musí tiež vrátiť všetky osobné údaje do svojich dátových centier v EÚ.
Max Schrems: "Sme radi, že sme sa po desiatich rokoch súdnych sporov dočkali tohto rozhodnutia. Pokuta mohla byť oveľa vyššia vzhľadom na to, že maximálna výška pokuty je viac ako 4 miliardy a spoločnosť Meta desať rokov vedome porušovala zákon, aby dosiahla zisk. Pokiaľ sa neupravia americké zákony o sledovaní, spoločnosť Meta bude musieť zásadne reštrukturalizovať svoje systémy."
FISA 702 podlieha opätovnému schváleniu. Súčasný konflikt medzi zákonmi EÚ o ochrane osobných údajov a zákonmi USA o sledovaní je problémom aj pre všetkých ostatných veľkých poskytovateľov cloudových služieb v USA, ako sú Microsoft, Google alebo Amazon. Základný zákon USA o sledovaní (FISA 702) musí byť opätovne schválený do decembra 2023. Chuť na podstatné zmeny môže byť väčšia pre veľké technologické spoločnosti v USA, kde teraz existuje prvá veľká pokuta od orgánov EÚ na ochranu údajov. Početné rozhodnutia z Francúzska, Talianska a Rakúska uznali využívanie služieb USA za nezákonné, ale neuložili im vysokú pokutu.
Max Schrems: "Najjednoduchšou nápravou by boli rozumné obmedzenia v zákone USA o sledovaní. Na oboch stranách Atlantiku existuje pochopenie, že na sledovanie potrebujeme pravdepodobný dôvod a súdny súhlas. Bolo by načase poskytnúť túto základnú ochranu zákazníkom poskytovateľov cloudových služieb v USA z EÚ. Ktorýkoľvek iný veľký americký poskytovateľ cloudu, ako napríklad Amazon, Google alebo Microsoft, by mohol byť zasiahnutý podobným rozhodnutím podľa práva EÚ."
Porušenia v minulosti - úspešné odvolanie je nepravdepodobné. Očakávame, že spoločnosť Meta podá odvolanie na írsky a potenciálne aj na európsky súd, avšak šanca, že sa toto rozhodnutie podstatne zvráti, je nízka: SDEÚ už rozhodol, že v dvoch prípadoch v rokoch 2007 až 2023 neexistoval platný právny základ pre prenos údajov medzi EÚ a USA. Neexistuje ani možnosť, aby akákoľvek nová dohoda legalizovala predchádzajúce porušenia zákona.
Max Schrems: "Meta sa proti tomuto rozhodnutiu odvolá, ale neexistuje žiadna reálna šanca, aby sa toto rozhodnutie materiálne zvrátilo. Porušenia z minulosti sa nedajú prekonať novou dohodou medzi EÚ a USA. Meta môže nanajvýš o niečo oddialiť zaplatenie pokuty."
Budúce prevody: Nádej spoločnosti Meta na novú dohodu medzi EÚ a USA je na vratkých základoch. V prípade všetkých budúcich prenosov Meta teraz dúfa, že prejde na novú dohodu o prenose údajov medzi EÚ a USA. Nová dohoda už čelila ostrej kritike zo strany Európskeho parlamentu, ale pravdepodobne vstúpi do platnosti po lete. Tieto nádeje však môžu byť čoskoro zmarené. Nie je nepravdepodobné, že Súdny dvor EÚ novú dohodu zruší - rovnako ako dve predchádzajúce dohody medzi EÚ a USA o prenose údajov ("Privacy Shield" a "Safe Harbor"). Takéto zneplatnenie má retroaktívny účinok.
Max Schrems: "Meta sa plánuje v budúcnosti pri prenosoch spoliehať na novú dohodu, ale pravdepodobne to nie je trvalá náprava. Podľa môjho názoru má nová dohoda možno desaťpercentnú šancu, že ju Súdny dvor EÚ nezruší. Pokiaľ sa neupravia zákony USA o dohľade, spoločnosť Meta bude pravdepodobne musieť uchovávať údaje EÚ v EÚ."
Desať rokov, tri súdne konania a miliónové náklady na právne služby. Úloha írskej DPC v tomto konaní je výnimočná, keďže sa neustále snažila zablokovať pokračovanie prípadu, v roku 2013 zamietla pôvodnú sťažnosť ako "neopodstatnenú" - čo si vyžiadalo, aby sa pán Schrems dostal až na SDEÚ. DPC potom zaujal stanovisko, že nemôže konať, keďže spoločnosť Meta využila tzv. štandardné zmluvné doložky, čo SDEÚ opäť odmietol a oznámil DPC, že musí konať. Nakoniec sa DPC pokúsilo ochrániť spoločnosť Meta pred pokutou a vymazaním už prenesených údajov, len aby to EDPB zrušil. Celkovo tieto postupy viedli k nákladom vo výške viac ako 10 miliónov eur - pokuta však pôjde írskemu štátu.
Max Schrems: "Trvalo nám desať rokov súdnych sporov proti írskemu DPC, kým sme dospeli k tomuto výsledku. Proti DPC sme museli viesť tri konania a riskovali sme miliónové procesné náklady. Írsky regulačný orgán urobil všetko pre to, aby sa vyhol tomuto rozhodnutiu, ale európske súdy a inštitúcie ho dôsledne zrušili. Je trochu absurdné, že rekordnú pokutu dostane Írsko - členský štát EÚ, ktorý urobil všetko pre to, aby táto pokuta nebola udelená."
Obdobie vykonávania, žiadne imanentné zastavenie služieb. Predtým spoločnosť Facebook/Meta šírila fámu, že prestane poskytovať služby v Európe. Vzhľadom na to, že Európa je zďaleka najväčším zdrojom príjmov mimo USA a Meta už vybudovala miestne dátové centrá v EÚ, sú tieto oznámenia sotva dôveryhodné. Zdá sa, že dlhodobým riešením je nejaká forma "federatívnej sociálnej siete", v rámci ktorej by väčšina osobných údajov zostala v EÚ, pričom by pokračovali len "nevyhnutné" prenosy - napríklad keď Európan pošle priamu správu priateľovi z USA. Meta síce dostala len krátke obdobie na implementáciu, aby prišla s riešením, ale o právnej situácii vedela desať rokov a návrh rozhodnutia jej bol doručený už v roku 2022.
Max Schrems: "Prázdne hrozby Facebooku, že zastaví služby v Európe, sú smiešne. Je to pre nich zďaleka najväčší trh mimo USA. Jednou z potenciálnych možností, ako sa posunúť vpred, by bola "federatívna" sociálna sieť, kde európske údaje zostanú v ich dátových centrách v Európe, pokiaľ používatelia nebudú chatovať napríklad s priateľom z USA."
Ďalšia ligácia môže nasledovať. V Holandsku prebieha hromadná žaloba. Na základe nedávneho rozsudku Súdneho dvora EÚ môžu používatelia žiadať aj emocionálne odškodnenie za menšie porušenia ich práv na ochranu údajov - napríklad za to, že sa stali predmetom masového sledovania zo strany USA. To povedie k nárokom, ktoré môžu ďaleko prevyšovať dnešnú pokutu. Napríklad, holandská organizácia na ochranu práv spotrebiteľov Consumentenbond v súčasnosti registruje holandských používateľov Facebooku, aby mohli podať svoje žaloby v súvislosti s prenosom údajov medzi EÚ a USA. Bez toho, aby používatelia požadovali spravodlivú kompenzáciu, sa nedočkáme žiadnej skutočnej zmeny. Orgány v súčasnosti nie sú veľmi aktívne pri presadzovaní GDPR, takže organizácie na ochranu práv spotrebiteľov a používatelia musia konať. Z tohto dôvodu, vyzývame každého používateľa Facebooku v Holandsku, aby zaregistroval svoje nároky na prípadnú náhradu škody. Okrem toho sa v lete tohto roku musí začať uplatňovať aj smernica EÚ o kolektívnom uplatňovaní nárokov na nápravu, ktorá po prvýkrát umožní kolektívne žaloby európskych používateľov v prípade porušenia nariadenia GDPR.
Max Schrems: "Toto rozhodnutie môže viesť k občianskoprávnym sporom proti spoločnosti Meta v Európe. V lete tohto roku EÚ implementuje aj nový systém "hromadných žalôb", ktorý sa môže použiť v prípade porušenia nariadenia GDPR."
