Förra veckan meddelade den irländska dataskyddsmyndigheten (IE DPC) att Meta åläggs att betala 1.2 miljarder euro för att upphöra med olovliga överföringar av personuppgifter från EU till USA, efter ett bindande beslut från Europeiska dataskyddsstyrelsen (EDPB).
Efter Europeiska dataskyddsstyrelsens (EDPB) bindande tvistlösningsförfarande av den 13 april 2023, har Meta Platforms Ireland Limited (Meta Inc) erhållit ett bötesbelopp på 1.2 miljarder euro av den irländska dataskyddsmyndigheten (IE DPC) efter en utredning av företagets plattform, Facebook. Böterna, som är de högsta GDPR-böterna någonsin, ålades mot bakgrund av att Meta Inc olovligen har överfört personuppgifter från registrerade inom EU till USA med hänsyn till att:
- USA:s ”Foregin Intelligence Surveilliance Act” möjliggör icke-rättsövervakad åtkomst till en användares data utan att den registrerade känner till det;
- EU-kommissionens standardavtalsklausuler från 2021 inte ensamt kan kompensera för det bristande skyddet för registrerades personuppgifter i USA; samt att
- De kompletterande tekniska och organisatoriska skyddsåtgärder som Meta Inc vidtagit inte kan anse kompensera för det bristande skyddet i USA:s lagstiftning.
EDPB konstaterade att Meta Inc:s överträdelse är allvarlig eftersom det gäller överföringar som är systematiska, repetitiva och kontinuerliga. EDPB underströk även att Facebook har miljontals användare i Europa, vilket innebär att mängden personuppgifter som överförs är enorm. Bötesbeloppet kan därmed betraktas som en stark signal till organisationer och företag om att allvarliga överträdelser får långtgående konsekvenser. Som en följd av detta har Meta Inc ålagts att:
- Upphöra behandlingen av personuppgifter i USA inom sex månader från att beslutet meddelades till Meta;
- Upphöra med den olovliga behandlingen av EU-data i USA inom sex månader och
- återta alla personuppgifter som de överfört till USA till sina datacenter i EU
I enlighet med beslutet av den 13 april 2023 gav EDPB IE DPC i uppdrag att ändra sitt utkast till beslut och ålägga Meta Inc böter. Med beaktande av överträdelsens allvar fann EDPB att utgångspunkten för beräkning av böterna borde ligga mellan 20 och 100 procent av det tillämpliga lagstadgade maximibeloppet. EDPB instruerade också IE:s dataskyddsmyndighet att ålägga Meta Inc att se till att behandlingen av personuppgifter överensstämmer med kapitel V i GDPR. I enlighet med IE DPC slutgiltiga beslut måste Meta Inc därmed inom 6 månader upphöra med den olagliga behandlingen av personuppgifter om europeiska användare som har överförts till USA i strid med GDPR.
Det slutgiltiga beslutet från den irländska dataskyddsmyndigheten återfinns på EDPB:s webbplats.
Metas svar kan du läsa här.