12 maja b.r. irlandzki organ ochrony danych – Data Protection Commissioner – nałożył najwyższą do tej pory karę za naruszenie przepisów RODO w wysokości 1 miliarda 200 milionów Euro. Dodatkowo organ ten nakazał zaprzestanie transferu danych do USA. Kara nałożona została na Meta Platforms Ireland Ltd (dalej Meta).
Kara nałożona została w związku z funkcjonowaniem portali Meta (Facebook, Instagram). W następstwie decyzji w sprawie Schrems 2 eliminującej mechanizm Privacy Shield. Meta korzystała z mechanizmu standardowych klauzul umownych, zgodnie z art. 46(2)c RODO.
Analizując transfer danych do USA, Irlandzki organ ochrony danych wskazał zestaw zarzutów:
- Prawo USA nie zapewnia odpowiedniego poziomu ochrony danych – przede wszystkim ze względu na brak skutecznego środka odwoławczego. Wprawdzie w przepisach USA dotyczących ochrony danych mają zostać wprowadzone zmiany, ale w momencie rozpoznawania sprawy nie były jeszcze implementowane;
- Standardowe klauzule umowne nie równoważyły uchybień prawa USA w tym zakresie;
- Meta nie wdrożyło dodatkowych rozwiązań pozwalających na zabezpieczenie danych w przypadku transferu;
- Meta nie mogło powoływać się na jakikolwiek z wyjątków art. 49 RODO – dotyczą one jedynie okazjonalnego, rzadkiego transferu, a nie ciągłego, jak to miało miejsce w przypadku platform Meta.
W związku z powyższym Data Protection Commissioner uznał transfer danych za niedopuszczalny. Natomiast kwestia nałożenia kary budziła pewne wątpliwości. Irlandzki organ początkowo nie chciał jej nakładać, uznając, że byłoby to działanie nadmierne i nieproporcjonalne. Meta działało w jego opinii w dobrej wierze, tworząc ramy transferu na podstawie klauzul standardowych. Również za nadmierny początkowo uznano obowiązek usunięcia danych już przekazanych do USA.
Jednak ze względu na ponadnarodowy charakter sprawy, w procedurze art. 60 RODO w sprawę zaangażowane były organy nadzorcze innych państw członkowskich, które nie zgodziły się z oceną Data Protection Commissioner. Spór pomiędzy organami rozstrzygnęła Europejska Rada Ochrony Danych w trybie art. 65, nakazując nałożenie kary.
Oprócz kary Meta została wezwana do zaprzestania transferu oraz przechowywania danych obywateli UE w Stanach Zjednoczonych, a także do zmiany systemu przekazywania danych. Czas na wdrożenie takich rozwiązań Meta ma do 12 października 2023 r. Istnieje szansa ze do tego czasu zostanie jednak wdrożony nowy mechanizm dla transferu danych z EOG do USA.
Jest to już kolejna kara nałożona na Meta. Spośród 6 najwyższych kar za naruszenia RODO, 5 z nich to kary dla Meta (druga co do wysokości kara nałożona została natomiast na Amazon w wysokości 746 milionów euro). Kary nałożone na Meta stanowią większość ogólnej wysokości kar za naruszenie RODO w Unii Europejskiej – z łącznej sumy niecałych 4 miliardów euro w 1653 sprawach, 2 miliardy 485 milionów to kary nałożone właśnie na ten podmiot.
Jakie skutki tej decyzji mogą odczuć przedsiębiorcy?
Podstawowym problemem jest kwestia działania platform Meta, tj Facebooka i Instagrama. Do 12 października Meta musi znaleźć sposób na legalizację sytuacji, tj. znalezienie zgodnego z prawem rozwiązania dla transferu albo jego zaprzestanie. Na razie nie jest oczywistym jakie rozwiązanie wybierze Meta. Wcześniej firma ostrzegała, że w przypadku, w którym nie będzie mogła wykorzystywać Klauzul Standardowych dla legalizacji transferu, może być zmuszona do zamknięcia platform Facebook’a i Instagram’a w Europie. Jednak wystąpienie z europejskiego rynku byłoby potężnym ciosem i firma raczej będzie starała się tego uniknąć.
Decyzja jest jednocześnie kolejną, która potwierdza, że same klauzule standardowe nie wystarczą dla legalizacji transferu danych do USA. Musimy dokonać analizy wpływu transferu dla ochrony danych oraz jeżeli jest to niezbędne – wdrożyć dodatkowe rozwiązania.
Warto także zauważyć, że Data Protection Commissioner uznał, że podstawy do transferu z art. 49 RODO (wykonanie umowy, zgoda, interes życia publicznego, ochrona żywotnych interesów osoby, której dane dotyczą) nie mogą być podstawą do regularnego transferu danych. Mają mieć jedynie charakter okazjonalny i ograniczony w czasie, ze względu na specyficzną sytuację. Są wyjątkami od ogólnych zasad transferu i nie mogą być interpretowane i stosowane szeroko. Nie jest to rozwiązanie często stosowane przez przedsiębiorców i w świetle decyzji w sprawie Meta bezpiecznie jest go unikać.