Niekończąca się historia kar dla właściciela Facebooka. Tym razem meta została ukarana ponad miliardem euro grzywny.

Ukochany przez Meta, irlandzki odpowiednik UODO, nałożył na właściciela Facebooka kolejną grzywnę. Tym razem to aż 1,2 miliarda euro. To najwyższa dotąd kara, jaką nałożono w Europie w ramach przepisów RODO.

U podstaw grzywny leży, zdaniem regulatora, niezgodne z prawem wykorzystywanie klauzuli umownych (SCC), które wykorzystywane były do przenoszenia danych z terenu Unii Europejskiej na teren Stanów Zjednoczonych. Komisja uznała, że słabsze regulacje dotyczące ochrony danych, obowiązujące w USA, narażają dane użytkowników z Europy na nieuprawniony dostęp podmiotów tzrecich, np. amerykańskich służb. Oczywiście, zdniaem przedstawicieli Mety, orzeczenie regulatora jest bezpodstawne i niepotrzebne.

Jesteśmy rozczarowani, że zostaliśmy ukarani, korzystając z tego samego mechanizmu prawnego, co tysiące innych firm chcących świadczyć usługi w Europie. Decyzja jest błędna, nieuzasadniona i stanowi niebezpieczny precedens dla niezliczonych innych firm przekazujących dane między UE a USA, powiedział Nick Clegg, prezes Facebooka.

Standardowe klauzule ochrony danych (ang. standard contractual clauses, SCC), podobnie jak wiążące reguły korporacyjne, należą do instrumentów prawnych mogących zapewnić odpowiednie zabezpieczenie danych osobowych w transferach poza Europejski Obszar Gospodarczy (EOG), bez konieczności specjalnych zezwoleń. Stanowią one jeden z najczęściej używanych instrumentów do transferu danych w sytuacji braku decyzji Komisji Europejskiej o odpowiednim poziomie ochrony. Klauzule umowne obejmują różne scenariusze przekazywania danych, tj.:

  • przekazywanie danych między administratorami,
  • przekazywanie danych przez administratora podmiotowi przetwarzającemu w państwie trzecim,
  • przekazywanie danych między podmiotami przetwarzającymi,
  • przekazywanie danych przez podmiot przetwarzający administratorowi w państwie trzecim.

Osoba, której dane dotyczą jest w tym wypadku beneficjentem zewnętrznym. Oznacza to, że jako osoba trzecia ma prawo korzystać z klauzul, co wiąże się m.in. z możliwością wnioskowania o odszkodowanie za szkody wynikające z naruszenia klauzul przez jedną ze stron.

Od 27 czerwca 2021 r. obowiązuje najnowsza Decyzja Wykonawcza Komisji (UE) 2021/914 na temat standardowych klauzul umownych, będąca w zgodności z wyrokiem TSUE w sprawie Schrems II (C-311/18). Nowe standardowe klauzule umowne są bardziej elastyczne niż starsza wersja i zawierają, między innymi, jeden punkt wejścia obejmujący szeroki zakres scenariuszy transferu zamiast oddzielnych zestawów klauzul, a także prawa osób, których dane dotyczą, w tym dochodzenie roszczeń, odpowiedzialność administratorów i nadzór nad transferami.

Obowiązujące klauzule muszą być przyjęte oraz stosowane w całości. Nie ma możliwości wyboru pojedynczych postanowień lub mieszania postanowień z różnych zestawów klauzul. W razie konieczności, wdrożone mogą zostać dodatkowe środki uzupełniające w celu zapewnienia odpowiedniego stopnia ochrony danych podczas transferów do państw trzecich.

Nie ma potrzeby stosowania klauzul umownych podczas transferów na terenie EOG, gdyż zarówno administratorzy jak i podmioty przetwarzające dane na terenie EOG są objęci przepisami RODO, które gwarantują odpowiedni poziom ochrony danych osobowych.

Do zadań właściwych organów nadzorczych należy m.in. zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów RODO w odniesieniu do przekazywania danych oraz rozpatrywanie skarg w tym temacie.

Ostatni raz o grzywnie dla spółki Meta pisaliśmy w styczniu tego roku. Za niezgodne z unijnym prawem wykorzystywanie danych użytkowników amerykański gigant został ukarany wtedy kwotą 390 milionów euro. Wczesniej, w listopadzie 2022 roku Meta została ukarana przez ten sam urząd grzywną w wysokości 265 milionów euro. Wtedy chodziło o wyciek danych 533 milionów osób ze 106 krajów. Pod koniec grudnia ubiegłego roku z kolei za aferę Cambridge Analytica Meta zdecydowała się zapłacić ugodę w wysokości 725 milionów dolarów. To jedynie cztery z ostatnich kar, jakie zostały nałożone na spółkę kierowaną przez Marka Zuckerberga.

{loadmoduleid 1123}