Americký technologický gigant Meta dostal rekordnú pokutu vo výške 1,2 miliardy eur za nedodržiavanie pravidiel EÚ o ochrane osobných údajov.

Írska komisia pre ochranu údajov v pondelok oznámila, že Meta porušila všeobecné nariadenie o ochrane údajov (GDPR), keď prepravila množstvo osobných údajov európskych používateľov Facebooku do Spojených štátov bez toho, aby ich dostatočne chránila pred praktikami Washingtonu v oblasti sledovania údajov.

Ide o najväčšiu pokutu uloženú v rámci vlajkovej lode bloku – všeobecného nariadenia o ochrane údajov (GDPR) o ochrane osobných údajov, ktorá prichádza v predvečer piateho výročia jeho uplatňovania 25. mája.

Spoločnosť Amazon dostala v minulosti od Luxemburska pokutu vo výške 746 miliónov eur a írsky regulačný orgán uložil za posledné dva roky aj štyri pokuty platformám spoločnosti Meta Facebook, Instagram a WhatsApp vo výške 405 až 225 miliónov eur.

Írsky orgán na ochranu súkromia uviedol, že Meta pri presúvaní údajov do USA využíva právny nástroj známy ako štandardné zmluvné doložky (SCC), ktorý „nerieši riziká pre základné práva a slobody“ európskych používateľov Facebooku, ktoré vyplynuli z prelomového rozhodnutia najvyššieho súdu EÚ.

Európsky súdny dvor v roku 2020 zrušil dohodu o toku údajov medzi EÚ a USA známu ako štít na ochranu súkromia pre obavy z postupov sledovania zo strany amerických spravodajských služieb. V tom istom rozsudku najvyšší súd EÚ tiež sprísnil požiadavky na používanie SCC, ďalšieho právneho nástroja, ktorý spoločnosti široko využívajú na prenos osobných údajov do USA.

Meta – ako aj iné medzinárodné spoločnosti – sa naďalej spoliehala na tento právny nástroj, keďže európski a americkí úradníci sa snažili zostaviť novú dohodu o dátových tokoch a americký technologický gigant nemal k dispozícii iné právne mechanizmy na prenos osobných údajov.

EÚ a USA dokončujú novú dohodu o toku údajov, ktorá by mohla byť uzavretá už v júli a až v októbri. Meta sa musí do 12. októbra prestať spoliehať na SCC pri svojich prenosoch.

Americký technologický gigant predtým varoval, že ak by bol nútený prestať používať SCC bez riadnej alternatívnej dohody o toku údajov, mohol by v Európe odstaviť služby ako Facebook a Instagram.

Meta má tiež do 12. novembra vymazať alebo presunúť späť do EÚ osobné údaje európskych používateľov Facebooku prenesené a uložené v USA od roku 2020, a to až do dosiahnutia novej dohody medzi EÚ a USA. Je však nepravdepodobné, že technologická spoločnosť bude musieť údaje vymazať alebo presunúť, keďže sa očakáva, že európski a americkí vyjednávači dokončia novú dohodu do začiatku novembra.

„Toto rozhodnutie je chybné, neodôvodnené a vytvára nebezpečný precedens pre nespočetné množstvo ďalších spoločností, ktoré prenášajú údaje medzi EÚ a USA,“ uviedli v pondelok vo vyhlásení prezident spoločnosti Meta pre globálne záležitosti Nick Clegg a právna riaditeľka Jennifer Newstead.

Clegg a Newsteadová uviedli, že spoločnosť sa proti rozhodnutiu odvolá a bude sa snažiť na súde dosiahnuť pozastavenie termínov implementácie. „Neexistuje žiadne bezprostredné narušenie pre Facebook, pretože rozhodnutie zahŕňa implementačné obdobia, ktoré trvajú do konca tohto roka,“ dodali.

Max Schrems, aktivista za ochranu súkromia, ktorý stojí za pôvodnou sťažnosťou z roku 2013 podporujúcou tento prípad, povedal: „Sme radi, že toto rozhodnutie po desiatich rokoch súdnych sporov … Pokiaľ sa neupravia americké zákony o sledovaní, Meta bude musieť zásadne reštrukturalizovať svoje systémy.“

Írska komisia pre ochranu údajov uviedla, že nesúhlasí s pokutou a opatrením, ktoré ukladá spoločnosti Meta, ale bola k tomu donútená celoeurópskou sieťou národných regulačných orgánov, Európskym výborom pre ochranu údajov (EDPB), po tom, ako pôvodné rozhodnutie Dublinu napadli štyri rovnocenné regulačné orgány v Európe, z Nemecka, Francúzska, Španielska a Rakúska.

Podľa interných diskusií, ktoré boli zverejnené v pondelok, írsky regulačný orgán začiatkom tohto roka dôrazne odmietol uložiť gigantovi sociálnych médií finančnú pokutu s tým, že takéto rozhodnutie by bolo neprimerané údajnému zneužívaniu súkromia. Dublin tiež tvrdil, že akákoľvek takáto pokuta voči spoločnosti Meta by sa mohla považovať za diskriminačnú, keďže americká technologická spoločnosť Google nečelila podobným sankciám za iné transatlantické prípady ochrany údajov.

Ostatné európske regulačné orgány však Írsko odmietli. Celoeurópsky orgán regulátorov ochrany osobných údajov EDPB v ostrej výčitke uviedol, že zastáva názor, že „Meta sa dopustila porušenia prinajmenšom s najvyšším stupňom nedbanlivosti“, ako vyplýva z diskusií zverejnených v pondelok, čím argumentoval v prospech pokuty. EDPB podporil tvrdenia štyroch regulačných orgánov EÚ pre ochranu osobných údajov, že spoločnosť Meta by mala byť tiež prinútená vymazať historické európske údaje, ktorých sa rozhodnutie týka.