W przedmiotowej sprawie wydane zostały dwie odrębne decyzje: ostateczna decyzja DPC, która jest teraz wiążąca dla Meta, oraz decyzja EROD, która wynikała z mechanizmu rozstrzygania sporów RODO i wiązała DPC, określającą, w jaki sposób ma orzekać w dwóch konkretnych kwestiach, w których powstały nieporozumienia między organami ochrony danych.

DPC przyjął ostateczną decyzję w dniu 12 maja 2023 r. W decyzji stwierdzono, że Meta Ireland naruszyła art. 46 ust. 1 RODO, kontynuując przekazywanie danych osobowych z UE/EOG do USA po ogłoszeniu wyroku TSUE w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillian Schrems. Chociaż Meta Ireland dokonała tych transferów na podstawie zaktualizowanych standardowych klauzul umownych (SCC), które zostały przyjęte przez Komisję Europejską w 2021 r. w połączeniu z dodatkowymi środkami uzupełniającymi wdrożonymi przez Meta Ireland, DPC stwierdził, że ustalenia te nie uwzględniały ryzyka dla podstawowych praw i wolności osób, których dane dotyczą, które zostały wskazane przez TSUE w jego wyroku.

EROD przyjęła decyzję w dniu 13 kwietnia 2023 r. Treść decyzji EROD: Wiążąca decyzja 1/2023 w sprawie sporu wniesionego przez Irish SA dotyczącego przekazywania danych przez Meta Platforms Ireland Limited w odniesieniu do jej usługi Facebook (art. 65 RODO)

Zgodnie z przyjętymi decyzjami wobec Meta orzeczone zostały:

1. nakaz wydany na podstawie art. 58 ust. 2 lit. j) RODO zobowiązujący Meta Ireland do zawieszenia wszelkich przyszłych transferów danych osobowych do USA w terminie pięciu miesięcy od daty powiadomienia Meta Ireland o decyzji DPC;
2. administracyjna kara pieniężna w wysokości 1,2 mld euro (odzwierciedlająca decyzję EROD o nałożeniu administracyjnej kary pieniężnej w celu ukarania stwierdzonego naruszenia. DPC określił kwotę grzywny, która ma zostać nałożona, na podstawie ocen i ustaleń zawartych w decyzji EROD); i
3. nakaz wydany na podstawie art. 58 ust. 2 lit. d) RODO, zobowiązujący Meta Ireland do dostosowania swoich operacji przetwarzania do rozdziału V RODO poprzez zaprzestanie bezprawnego przetwarzania, w tym przechowywania, w USA danych osobowych użytkowników z UE/EOG przekazanych z naruszeniem RODO, w ciągu 6 miesięcy od daty powiadomienia Meta Ireland o decyzji DPC.

Zapewne Meta odwoła się od decyzji do Sądu Najwyższego w Irlandii, a w kwestiach w jakich dotyczy to prawa unijnego być może również sprawa trafi do TSUE.

W kwestii zapewnienia legalnego transferu danych do USA jedynie decyzja Komisji Europejskiej jest w stanie zmienić obecną sytuację prawną.

Źródło: https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl