Firma macierzysta Facebooka Meta musi zapłacić rekordową karę w wysokości 1,2 miliarda euro. Irlandzki organ ds. ochrony danych DPC pod kierownictwem Helen Dixon ustalił wcześniej, że amerykańska grupa nie chroniła odpowiednio danych osobowych użytkowników w Europie, a tym samym naruszyła europejskie ogólne rozporządzenie o ochronie danych (RODO). Dane zostały przekazane m.in. służbom bezpieczeństwa USA. Władze w Dublinie wyznaczyły teraz także termin, w którym Meta ma zatrzymać napływ danych do USA .
To największa kara, jaką kiedykolwiek nałożono na jednego z amerykańskich gigantów technologicznych. Jak dotąd 746 mln euro kary dla Amazona było rekordowe. Meta musi „zawiesić wszelkie przyszłe transfery danych osobowych do Stanów Zjednoczonych” w ciągu pięciu miesięcy, zastrzega organ. Grupa Marka Zuckerberga (39 l.) ma jeszcze miesiąc na zakończenie „nielegalnego przetwarzania” danych, w tym przechowywania ich w USA.
Meta ze swoimi platformami Facebook i Instagram od dawna znajduje się na celowniku unijnych organów nadzoru. Zakaz przekazywania danych był powszechnie oczekiwany i skłonił amerykańską firmę do groźby całkowitego wystąpienia z UE. Meta chce teraz zakwestionować obecną decyzję organu UE, a grupa zapowiedziała odwołanie. Jednak nie ma natychmiastowych efektów na Facebooku i Instagramie. Jednak sprawa sądowa może trwać latami.
Decyzja zapada prawie dokładnie pięć lat po wejściu w życie ogólnego rozporządzenia o ochronie danych. 25 maja 2018 roku weszła w życie regulacja, która jest uważana za najostrzejszą tego typu na świecie. Od tego czasu UE wraz ze swoimi 27 państwami członkowskimi ma prawo nakładać grzywny w wysokości do 4 procent rocznego obrotu firmy w przypadku poważnych naruszeń. Organem wiodącym jest Komisja ds. Ochrony Danych Osobowych, na czele której stoi Dixon w Irlandii . Niektóre z największych firm technologicznych, takie jak Meta czy Apple, mają tam swoje siedziby w UE.
Rewelacje Edwarda Snowdena (39 l.) przyspieszyły sprawę . Austriacki działacz na rzecz ochrony danych, Max Schrems (35 l.), złożył skargę przeciwko Facebookowi w 2013 r. DPC przez lata odmawiał podjęcia działań przeciwko Facebookowi w tej sprawie. Ostatecznie jednak Europejska Rada Ochrony Danych (EROD) zobowiązała DPC do nałożenia kary na portal społecznościowy. Obecna decyzja dotyczy tylko Facebooka, a nie innych serwisów z metagrupy, takich jak Instagram czy WhatsApp. Jednak Meta została już ukarana grzywną w wysokości 390 milionów euro przez DPC w styczniu, ponieważ użytkownicy Facebooka i Instagrama zostali zmuszeni do wyrażenia zgody na spersonalizowane reklamy.
W związku z rekordową obecnie karą Schrems wyjaśnił, że nałożona kara mogła być znacznie wyższa: „Maksymalna kara wynosi ponad cztery miliardy euro. A Meta świadomie łamie RODO przez dziesięć lat w celu osiągnięcia zysku”. Jeśli amerykańskie przepisy dotyczące nadzoru nie zostaną zmienione, Meta prawdopodobnie będzie musiała gruntownie zrestrukturyzować swoje systemy, wyjaśnił Schrems.
Dla Meta może to być skomplikowane i kosztowne. Według swojej strony internetowej grupa obsługuje obecnie 21 centrów danych. Spośród nich 17 znajduje się w USA, trzy w Europie (Dania, Irlandia i Szwecja), a jeszcze jeden w Singapurze.
Od lat trwa polityczna walka o ochronę danych. Tak zwana umowa „Privacy Shield” miała pierwotnie zapewnić ochronę transatlantyckiego ruchu danych. Jednak w 2020 r. najwyższy sąd UE uchylił umowę między UE a Stanami Zjednoczonymi regulującą transatlantycki przepływ danych w związku z obawami, że dane obywateli nie były bezpieczne, gdy trafiły na serwery w USA. Po miesiącach negocjacji z USA unijne organy regulacyjne przedstawiły w grudniu propozycje zastąpienia poprzedniego paktu „Tarcza Prywatności”.
Łącznie z nową karą dla Meta, od czasu wejścia w życie RODO pięć lat temu nałożono grzywny w łącznej wysokości czterech miliardów euro. Meta jest obecnie reprezentowana sześciokrotnie na liście dziesięciu najwyższych grzywien, kary wynoszą obecnie 2,5 miliarda euro. Sieć odzieżowa H&M musiała w 2020 roku zapłacić najwyższą w Niemczech karę w wysokości 35 mln euro za niewystarczającą podstawę prawną do przetwarzania danych jej sklepu internetowego.
