Διαβιβάσεις δεδομένων στις ΗΠΑ: Πρόστιμο ρεκόρ 1,2 δισ. ευρώ στη Meta για το Facebook

Η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (Data Protection Commission - DPC) ανακοίνωσε σήμερα την ολοκλήρωση της έρευνάς της στην Meta Platforms Ireland Limited ("Meta Ireland"), εξετάζοντας τη βάση με την οποία διαβιβάζει δεδομένα προσωπικού χαρακτήρα από την ΕΕ/ΕΟΧ στις ΗΠΑ σε σχέση με την παροχή της υπηρεσία Facebook.

Η DPC εξέδωσε την τελική της απόφαση στο πλαίσιο αυτής της έρευνας στις 12 Μαΐου 2023.

Η απόφαση καταλήγει ότι η Meta Ireland παραβίασε το άρθρο 46 παράγραφος 1 του ΓΚΠΔ όταν συνέχισε να διαβιβάζει δεδομένα προσωπικού χαρακτήρα από την ΕΕ/ΕΟΧ στις ΗΠΑ μετά την έκδοση της απόφασης του Δικαστηρίου της ΕΕ στην υπόθεση Data Protection Commissioner κατά Facebook Ireland Limited και Maximillian Schrems.

Ενώ η Meta Ireland πραγματοποίησε τις εν λόγω διαβιβάσεις βάσει των επικαιροποιημένων τυποποιημένων συμβατικών ρητρών ("SCC") που εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή το 2021 σε συνδυασμό με πρόσθετα συμπληρωματικά μέτρα που εφαρμόστηκαν από την Meta Ireland, η DPC διαπίστωσε ότι οι ρυθμίσεις αυτές δεν αντιμετώπιζαν τους κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που εντοπίστηκαν από το ΔΕΕ στην απόφασή του.

Η έρευνα ξεκίνησε αρχικά τον Αύγουστο του 2020 και στη συνέχεια αναβλήθηκε με απόφαση του Ανώτατου Δικαστηρίου της Ιρλανδίας, εν αναμονή της επίλυσης μιας σειράς νομικών διαδικασιών, μέχρι τις 20 Μαΐου 2021.

Μετά από ολοκληρωμένη έρευνα, η DPC συνέταξε σχέδιο απόφασης με ημερομηνία 6 Ιουλίου 2022.

Ειδικότερα, διαπίστωσε ότι:

1. οι εν λόγω διαβιβάσεις δεδομένων πραγματοποιούνταν κατά παράβαση του άρθρου 46 παράγραφος 1 του ΓΚΠΔ- και

2. υπό αυτές τις συνθήκες, οι διαβιβάσεις δεδομένων θα πρέπει να ανασταλούν.

Στο πλαίσιο μιας διαδικασίας συνεργασίας που προβλέπεται από τον ΓΚΠΔ (άρθρο 60), το σχέδιο απόφασης που εκπόνησε η DPC υποβλήθηκε στις ομότιμες ρυθμιστικές αρχές της στην ΕΕ/ΕΟΧ, γνωστές και ως ενδιαφερόμενες εποπτικές αρχές ("ΕΑΑ"). 

Η φύση της επεξεργασίας που εξέταζε η έρευνα ήταν τέτοια που όλες οι άλλες Εποπτικές Αρχές της ΕΕ/ΕΟΧ εμπλέκονταν ως CSA για τους σκοπούς της διαδικασίας συνεργασίας.

Όσον αφορά το ζήτημα της μη συμμόρφωσης της Meta Ireland με τον ΓΚΠΔ και την πρόταση της DPC να εκδώσει εντολή αναστολής της διαβίβασης δεδομένων, οι ΕΕΑ συμφώνησαν με την απόφαση της DPC.

Ένας μικρός αριθμός (4) από τις 47 CSA εξέφρασε αντιρρήσεις σε σχέση με τη διορθωτική εξουσία που πρότεινε να ασκήσει η DPC μέσω του σχεδίου απόφασης.

Στο πλαίσιο αυτού του υποσυνόλου των ΕΕΑ, και οι τέσσερις ΕΕΑ διατύπωσαν την άποψη ότι η Meta Ireland θα πρέπει να υποβληθεί σε διοικητικό πρόστιμο για την παράβαση που διαπιστώθηκε ότι συνέβη.

Μετά από μια άτυπη διαδικασία διαβούλευσης, κατέστη σαφές ότι δεν μπορούσε να επιτευχθεί συναίνεση.

Σύμφωνα με τις υποχρεώσεις που υπέχει δυνάμει του ΓΚΠΔ, η DPC παρέπεμψε τις ενστάσεις στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ("EDPB") για να αποφασίσει σύμφωνα με τον μηχανισμό επίλυσης διαφορών του άρθρου 65.

Το EDPB εξέδωσε την απόφασή του στις 13 Απριλίου 2023. 

Σύμφωνα με τις υποχρεώσεις του να εκδίδει την τελική του απόφαση βάσει της απόφασης του EDPB, η απόφαση της DPC της 12ης Μαΐου 2023 καταγράφει την άσκηση των ακόλουθων διορθωτικών εξουσιών:

• εντολή, με την οποία απαιτείται από την Meta Ireland να αναστείλει κάθε μελλοντική διαβίβαση δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ εντός προθεσμίας πέντε μηνών από την ημερομηνία κοινοποίησης της απόφασης της DPC στην Meta Ireland,
• διοικητικό πρόστιμο ύψους 1,2 δισεκατομμυρίων ευρώ (που αντανακλά τη διαπίστωση του EDPB ότι έπρεπε να επιβληθεί διοικητικό πρόστιμο, για να τιμωρηθεί η παράβαση που διαπιστώθηκε, και
• εντολή, με την οποία απαιτείται από την Meta Ireland να συμμορφώσει τις πράξεις επεξεργασίας της με το κεφάλαιο V του ΓΚΠΔ, παύοντας την παράνομη επεξεργασία, συμπεριλαμβανομένης της αποθήκευσης, στις ΗΠΑ δεδομένων προσωπικού χαρακτήρα χρηστών της ΕΕ/ΕΟΧ που διαβιβάστηκαν κατά παράβαση του ΓΚΠΔ, εντός 6 μηνών από την ημερομηνία κοινοποίησης της απόφασης της ΕΑΠ στην Meta Ireland.