Cały świat dowiedział się na dniach, że firma Meta będąca właścicielem m.in. Facebooka, Instagrama, komunikatora WhatsApp, a właściwie jej spółka córka Meta Platforms Ireland Limited (Meta IE) została ukarana astronomiczną karą finansową w wysokości 1,2 mld EUR. Wysokość kary może robić wrażenie, gdyż jest jak do tej pory największą karą finansową od początku obowiązywania europejskich przepisów o ochronie danych osobowych. Nie mieliśmy jeszcze do czynienia z tak wysoką karą. Została ona nałożona w wyniku decyzji Europejskiej Rady Ochrony Danych (EROD), co było następstwem przeprowadzonego przez irlandzki organ ds. ochrony danych (Data Protection Commission) dochodzenia w zakresie świadczonej usługi związanej z Facebookiem. Jak wynika z oficjalnego stanowiska zamieszczonego na stronie EROD, kara wynika bezpośrednio z faktu transferu danych osobowych europejskich użytkowników Facebooka do USA, który to transfer odbywał się na podstawie standardowych klauzul umownych (tzw. SCC) i miał miejsce od 16 lipca 2020 r.

Wspominałem już we wcześniejszych swoich wpisach, że kwestia transferu danych osobowych za Atlantyk jest na agendzie między Komisją Europejską (KE) a rządem Stanów Zjednoczonych. Niemniej jednak jeszcze nie została zakończona. Obecna kara dla Mety IE jest jasnym sygnałem dla rządu USA

aby dokończyć ten proces. Sygnał jaki został wysłany jasno wskazuje, że europejskie instytucje przetwarzanie danych osobowych obywateli krajów członkowskich traktują bardzo poważnie i nie szykuje się w tym zakresie żadna zmiana, a wręcz przeciwnie, następuje twarde egzekwowanie przestrzegania łamanych zasad związanych z RODO. Tym bardzie ciekawie zapowiada się ujęcie szczegółowych zasad jakim będą podlegać transferowane dane w zakresie przeszłego porozumienia KE-USA. Przypomnę, że oponenci negocjowanego porozumienia zarzucają tym zasadom, że praktycznie niewiele się różnią od wcześniejszych odrzuconych przez TSUE rozwiązań.

Wracając do treści decyzji irlandzkiego organu ds. ochrony danych, to stwierdził on mi.in., że:

  1. Przekazywanie danych przez Meta IE odbywa się w okolicznościach, które nie gwarantują osobom, których dane dotyczą, poziomu ochrony merytorycznie równoważnego z zapewnianym przez prawo UE, w szczególności przez RODO w świetle Karty praw podstawowych Unii Europejskiej Unii Europejskiej („Karta”), a zatem dokonując Przekazywania danych, Meta IE narusza art. 46 ust. 1 RODO;
  2. Meta IE nie jest uprawniona do powoływania się na żadne odstępstwa na podstawie art. 49 ust. 1 RODO w odniesieniu do transferów danych;
  3. Konieczne jest nakazanie zawieszenie przekazywania danych, zgodnie z uprawnieniami organu nadzorczego wynikającymi z art. 58 ust. 2 lit. j) RODO;
  4. W następstwie ustalenia EROD, o którym mowa w pkt 267 decyzji na podstawie art. 65, na mocy niniejszej decyzji nakazał spółce Meta IE dostosowanie jej operacji przetwarzania do zapisów ujętych w rozdziale V RODO, poprzez zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania, w USA danych osobowych użytkowników z EOG przekazywanych z naruszeniem RODO;
  5. W związku z ustaleniami EROD określonymi w pkt 142 decyzji na podstawie art. 65, w drodze niniejszej decyzji zasadne jest nałożenie administracyjnej kary pieniężnej w wysokości 1,2 mld EUR w zakresie stwierdzenia naruszenia art. 46 ust. 1 RODO.

Oczywiście Meta zapowiedziała odwołanie się od tak bezprecedensowej decyzji EROD i irlandzkiego organu ds. ochrony danych. W swoim oświadczeniu wskazała: „Będziemy odwoływać się od orzeczenia, w tym od nieuzasadnionej i niepotrzebnej kary, i będziemy dążyć do wstrzymania nakazów na drodze sądowej.” Dalej zapewniła, że nie ma natychmiastowego zagrożenia co do zakłóceń w działaniu Facebooka w Europie, co może uspokoić użytkowników, którzy ewentualnie martwiliby się o ciągłość działania Facebooka. Niemniej jednak nakaz zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania, w USA danych osobowych użytkowników z EOG wydaje się poważnym wyzwaniem dla Meta IE. Meta zwróciła w swoim oświadczeniu także uwagę na używanie standardowych klauzul umownych, jako rozwiązania, z którego korzysta tysiące innych firm, wyrażając tym samym zdziwienie, że ten mechanizm jest uznany za niewłaściwy. Jest to o tyle istotne, że w obecnym stanie prawnym faktycznie gro podmiotów korzysta z możliwości transferu danych osobowych do USA bazując na standardowych klauzulach umownych. Jak te podmioty podejdą w nowej rzeczywistości do codziennie wykonywanych transferów danych do USA, to wydaje się zasadniczym pytaniem. Widzimy wyraźnie, że niniejsza sprawa będzie miała szeroki oddźwięk i będzie rezonować na inne organizacje. Firma liczy także na szybkie rozwiązanie kwestii transferu danych osobowych za Atlantyk przez KE i rząd USA. Zobaczymy, jak firma wybrnie z nowych wyzwań jakie się przed nią pojawiły.

To, że sprawa nie jest błaha może także świadczyć wypowiedź przewodniczącej EROD Andrei Jelinek: „EROD stwierdziła, że naruszenie Meta IE jest bardzo poważne, ponieważ dotyczy przekazywania, które jest systematyczne, powtarzalne i ciągłe. Facebook ma miliony użytkowników w Europie, więc ilość przesyłanych danych osobowych jest ogromna. Bezprecedensowa kara jest silnym sygnałem dla organizacji, że poważne naruszenia mają daleko idące konsekwencje”. Powyższe słowa świadczą o powadze z jaką podchodzi do sprawy EROD.

Transfer danych osobowych do USA staje się coraz większym ryzykiem dla organizacji. Kara dla Mety nie pomaga w zachowaniu jako takiej stabilności, wręcz wprowadza jeszcze więcej niepewności. Meta ma pięć miesięcy na znalezienie rozwiązania. Może w międzyczasie sytuacja prawna się zmieni i wejdzie w życie nowe porozumienie między UE a USA.

Autor: Radosław Aniszczyk