Unia Europejska nałożyła rekordową grzywnę w wysokości 1,3 mld dolarów (ok. 1,2 mld euro) na Meta. Przyczyną był tryb postępowania z danymi użytkowników z Unii Europejskiej, które były przesyłane bez ich wiedzy i zgody do USA, choć korporacja twierdziła, że na takie postępowanie każdy użytkownik godził się korzystając z jej serwisów.
Wiodący regulator w Unii, Irlandzka Komisja Ochrony wystąpiła w sprawie grzywny jako strona, która ją nałożyła, bowiem europejska siedziba Meta i Facebooka znajduje się w Dublinie.
Irlandzki organ nadzorujący powiedział, że dał Meta pięć miesięcy do końca października br. na zaprzestanie wysyłania danych europejskich użytkowników do USA i sześć miesięcy na dostosowanie operacji związanych z danymi „poprzez zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania, w USA” danych osobowych europejskich użytkowników przekazywanych z naruszeniem zasad prywatności bloku. Decyzja ta dotyczy takich danych użytkowników jak imiona i nazwiska, adresy e-mail i IP, wiadomości, historia przeglądania, dane geolokalizacyjne i inne informacje, które Meta – i inne firmy technologiczne, jak choćby Google – wykorzystują do ukierunkowanych reklam internetowych.
Kara w wysokości 1,2 miliarda euro jest największa od czasu wejścia w życie ścisłego unijnego systemu ochrony danych pięć lat temu, przewyższając grzywnę nałożoną przez Amazon w wysokości 746 milionów euro w 2021 roku za naruszenia ochrony danych.
Meta, która już wcześniej ostrzegała, że niektóre jej usługi w Europie mogą być niedostępne, stwierdziła, że „nie ma natychmiastowych zakłóceń w działaniu Facebooka w Europie”, obiecała odwołanie i zwrócenie się do sądów o wstrzymanie wykonania decyzji.
„Ta decyzja jest błędna, nieuzasadniona i stanowi niebezpieczny precedens dla niezliczonych innych firm przesyłających dane między UE a USA” – stwierdzili w oświadczeniu Nick Clegg, prezes ds. działań globalnych oraz Jennifer Newstead, szef departamentu prawnego.
Nałożona obecnie grzywna to kolejny zwrot w batalii prawnej, która rozpoczęła się w 2013 r., kiedy austriacki prawnik i działacz na rzecz ochrony prywatności Max Schrems złożył skargę dotyczącą postępowania Facebooka z jego danymi. Stało się to po ujawnieniu przez byłego kontrahenta National Security Agency Edwarda Snowdena elektronicznej inwigilacji amerykańskich agencji bezpieczeństwa. Snowden ujawnił wtedy, że Facebook regularnie dawał amerykańskim agencjom wywiadowczym dostęp do danych osobowych Europejczyków.
Spory pomiędzy amerykańskimi firmami technologicznymi a Unią Europejską ujawniają kompletnie różne podejście do kwestii danych osobowych na obu kontynentach. W USA nie istnieje żadne federalne prawo dotyczące prywatności, w UE regulacje dotyczące tej kwestii są bardzo ścisłe. Unia traktuje kwestię danych osobowych jako przyczynek do ograniczenia siły koncernów Big Tech, które „nie mogą układać życia Europejczyków”.
„Taki obrót sprawy z karą dla Meta był spodziewany nawet dla Amerykanów. Działy prawne ich korporacji wychodzą bowiem z zasady – korzystasz z naszych usług, to godzisz się na wszystko co robimy z danymi. I dlatego masywne wycieki danych jakie często następują nawet nie u nich, a u ich partnerów biznesowych, mają taki dewastujący charakter. Nie chcą jednak przyjąć do wiadomości, że w Europie tak to nie działa. Prawdopodobnie zaczną się teraz naciski polityczne, żeby zmniejszyć wysokość tych grzywien albo w ogóle wyciszyć sprawę w zamian za jakieś koncesje w innych sprawach. Nie sądzę, by było to możliwe” – powiedziała ISBiznes.pl wysoka urzędniczka Dyrekcji ds. Konkurencji Unii Europejskiej.
Privacy Shield, umowa pomiędzy Unią Europejską a USA została odrzucona przez Trybunał Sprawiedliwości Unii Europejskiej, który stwierdził, że nie jest zapewniony dostateczny poziom ochrony przed nieuprawnionym dostępem ze strony agend rządowych USA. Privacy Shield została uzupełniona o paragrafy, których wprowadzenia domagał się Trybunał Sprawiedliwości, ale jest jeszcze procedowana zarówno w USA, jak i Unii. Jednak unijne związki branżowe prawników twierdzą, że zabezpieczenia zawarte w umowie nadal są zbyt słabe i nie chronią przed nieuprawnionym dostępem.
Meta twierdzi, że jeśli Privacy Shield wejdzie w życie przed upływem październikowego terminu, wówczas „nasze usługi mogą być kontynuowane tak, jak obecnie, bez żadnych zakłóceń ani wpływu na użytkowników”. Ale Max Schrems przewiduje, że Meta „nie ma realnych szans” na materialne unieważnienie decyzji. Nowa Privacy Shield może znowu zostać odrzucona przez Trybunał Sprawiedliwości UE bowiem znowu jest „nazbyt liberalna jeśli chodzi o kwestię ochrony prywatności”.
„Meta planuje polegać na nowej umowie dotyczącej transferów w przyszłości, ale prawdopodobnie nie jest to trwałe rozwiązanie. Jeśli przepisy dotyczące nadzoru w USA nie zostaną naprawione, Meta prawdopodobnie będzie musiała przechowywać dane UE w UE” – powiedział Schrems agencji Reuters.
Meta prawdopodobnie zdaje sobie z tego sprawę bowiem w najnowszym raporcie finansowym ostrzegła, że bez podstawy prawnej dotyczącej kwestii przekazywania danych, będzie musiała zaprzestać oferowania swoich produktów i usług w Europie „co w istotny sposób wpłynęłoby niekorzystnie na naszą działalność, sytuację finansową i wyniki operacyjne”.
Oznacza to również, że Meta musiałaby przeprowadzić kosztowną i dość długotrwałą reorganizację w swoich 21 centrach danych, bowiem 17 z nich znajduje się w USA, a tylko trzy w Europie: Danii, Irlandii i Szwecji. Firma ma za to wielkie azjatyckie centrum danych w Singapurze.