W wyniku decyzji Europejskiej Rady Ochrony Danych z 13 kwietnia 2023 r., spółka Meta Platforms Ireland Limited (Meta IE) została ukarana najwyższą w historii karą administracyjną nałożoną na podstawie przepisów RODO, która wyniosła aż 1,2 miliarda euro.

Irlandzki organ nadzorczy wszczął postępowanie w sprawie Meta IE w związku z przekazywaniem przez spółkę danych osobowych użytkowników serwisu Facebook do Stanów Zjednoczonych na podstawie zawartych standardowych klauzul umownych, o których mowa w art. 46 RODO. Należy w tym miejscu przypomnieć, iż wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dn. 16 lipca 2020 r. C-311/18 (tzw. Schrems II) możliwość przekazywania danych do państw spoza Europejskiego Obszaru Gospodarczego, wobec których nie została wydana decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, wyłącznie w oparciu o art. 46 RODO bez zastosowania odpowiednich dodatkowych zabezpieczeń, może być niezgodne z przepisami prawa. Postanowienie to unieważniło również dotychczasową podstawę służącą transferom danych do Stanów Zjednoczonych, tj. Tarczę Prywatności (Privacy Shield).

Ostatecznie organ nadzorczy nie tylko stwierdził, że Meta IE dokonuje transferów danych osobowych bez odpowiedniej podstawy prawnej, co skutkowało nałożeniem administracyjnej kary pieniężnej, ale również nakazał spółce dostosowanie operacji przetwarzania danych do wymogów określonych w rozdziale V RODO, w szczególności w zakresie przechowywania danych osobowych w Stanach Zjednoczonych. Na wdrożenie niezbędnych kroków w powyższym zakresie Meta IE ma teraz 6 miesięcy.

Komentarz Auraco:

Podejmując decyzję o przekazaniu danych osobowych do państwa znajdującego się poza Europejskim Obszarem Gospodarczym, administrator danych musi spełnić szereg wymogów, by zapewnić transferowanym danym właściwy poziom bezpieczeństwa. W takim przypadku pierwszą czynnością powinna być weryfikacja, czy w zakresie państwa, do którego mamy zamiar przesyłać dane osobowe wydana została decyzja Komisji Europejskiej (KE) stwierdzająca odpowiedni stopień ochrony. Jeżeli tak – transfer danych osobowych możemy oprzeć o art. 45 RODO, a więc w praktyce nie odczujemy istotnych różnic od przekazywania danych np. pomiędzy poszczególnymi państwami członkowskimi w zakresie konieczności wdrażania dodatkowych zabezpieczeń w odniesieniu do transferowanych danych.

Inaczej sytuacja prezentować się będzie w przypadku braku wydania ww. decyzji KE, bowiem wówczas niezbędne jest spełnienie wymogów wynikających nie tylko z rozdziału V RODO, ale również wyroku Schrems II, a więc poza przyjęciem odpowiedniej podstawy prawnej wskazanej w art. 46 RODO, np. standardowych klauzul umownych, musimy również przyjąć dodatkowe zabezpieczenia, które pozwolą zapewnić, że transfer danych do państwa spoza obszaru EOG nie będzie skutkował obniżeniem poziomu bezpieczeństwa przetwarzanych danych. Takim dodatkowym zabezpieczeniem może być w szczególności przeprowadzenie tzw. Transfer Impact Assesment, tj. oceny, czy ustawodawstwo stosowane w państwie odbiorcy danych osobowych, nie stoi w sprzeczności z właściwymi wymaganiami wynikającymi z przepisów unijnych, w szczególności przepisów RODO.

Źródło: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf
https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en