רשות הגנת הפרטיות באירלנד (ה-DPC) מצאה שמטא, חברת האם של פייסבוק, הפרה את ה-GDPR כאשר המשיכה להעביר מידע אישי מאירופה לארה"ב מאז החלטת Schrems II, תוך הסתמכות על חוזי העברת מידע (SCC). התוצאה - הקנס הגבוה ביותר שהוטל עד כה מכוח ה-GDPR, בסך 1,200,000,000 (למתקשים: מיליארד ועוד מאתיים מיליון) אירו. בנוסף, הרשות האירית אסרה על מטא להשתמש ב-SCC כבסיס להעברת מידע מאירופה לארצות-הברית.
הסיבה: החוזים הללו אינם מטפלים בסיכונים לזכויות היסוד וחירויות נושאי המידע האירופאיים, כמו לדוגמה האפשרות של סוכנויות הביטחון והמודיעין האמריקאיות לאסוף ולנטר באופן גורף ונרחב מידע אישי על משתמשים אירופאיים ברשת. בעוד שההחלטה מתייחסת למטא בלבד, היא משליכה במישרין על כל העברת מידע מאירופה לארצות-הברית.
בכך סיימה ה-DPC את חקירתה לגבי מטא אירלנד, שהחלה באוגוסט 2020, ואת המחלוקת בין רשויות הגנת המידע באירופה לגבי פעולות התיקון שיש לדרוש ממטא.
בטיוטת ההחלטה הראשונית, מצאה ה-DPC שמטא הפרה את סעיף 46(1) ל-GDPR, ולפיכך קבעה כי על מטא לעצור את העברת המידע האישי מאירופה לארה"ב. טיוטה זו הועברה לרשויות פיקוח אירופאיות אחרות. לאחר שלא עלה בידה להגיע עימן להסכמה בדבר הצעדים שיש לנקוט נגד מטא, פנתה ה-DPC למועצת הרגולטורים האירופאים להגנת המידע (EDPB) כדי שתכריע בסכסוך.
לפני חמישה שבועות הגיעה ה-EDPB להחלטתה המחייבת, שלפיה יושת על מטא קנס בסך 20% עד 100% מהמקסימום המותר בחוק, ושעל מטא יהיה לשנות את אופן עיבוד והעברות המידע האישי. בעקבות זאת, הרשות האירית קיבלה את החלטתה ולפיה:
- מטא אירלנד נדרשת להשעות כל העברה עתידית של מידע אישי לארה"ב תוך חמישה חודשים ממועד מסירת הודעת ה-DPC למטא אירלנד;
- על מטא יושת קנס מנהלי בסך 1.2 מיליארד אירו (כאמור, קנס ה-GDPR הגדול ביותר שהושת אי פעם);
- מטא נדרשת לשנות את אופן עיבוד והעברת המידע האישי של משתמשים אירופאיים כך שייעשה בהתאם לפרק 5 ל-GDPR - הפסקת העיבוד והאחסון הבלתי חוקיים של מידע אישי של משתמשים אירופאים בארה"ב, כל זאת תוך 6 חודשים ממועד מסירת הודעת ה-DPC למטא אירלנד.
ניק קלג, נשיא היחסים הבינלאומיים במטא, וג'ניפר ניוסטד, מנהלת המחלקה המשפטית במטא, מסרו את תגובתם להחלטת ה-DPC:
- היכולת להעביר נתונים באופן גלובלי היא הכרחית ונדרשת לאור אופן פעולת האינטרנט: אלפי עסקים וארגונים מסתמכים על יכולתם להעביר נתונים בין האיחוד האירופי לארה"ב כדי לפעול ולספק שירותים יומיומיים;
- ההחלטה של בית הדין לצדק של האיחוד האירופי (CJEU) לפסול את מגן הפרטיות יצרה אי ודאות רגולטורית ומשפטית ניכרת עבור אלפי ארגונים, כולל מטא;
- החברה השתמשה בסעיפים החוזיים האחידים, SCC, מתוך אמונה שהם תואמים ל-GDPR, כמו אלפי עסקים אחרים, בהתאם להחלטת ה-CJEU;
- מטא תערער על החלטת ה-DPC, לרבות על הקנס הבלתי מוצדק והמיותר, ותבקש עיכוב צווים באמצעות בתי המשפט;
- המחוקקים הן באיחוד האירופי והן בארה"ב בדרך לפתרון הסתירה בחוק בין הכללים של ממשלת ארה"ב לגבי גישה לנתונים וזכויות הפרטיות האירופיות, באמצעות ה- Data Privacy Framework (DFF), אותו צפויים המחוקקים לאשר בקיץ.
- ככל שה-DFF ייכנס לתוקף לפני תחילת הנחיות ההחלטה, מטא תוכל להמשיך לפעול כרגיל, ובכל מקרה, אין הפרעה מיידית לפעילות פייסבוק באירופה.
מקס שרמס, מקים עמותת NOYB שהגישה מספר תלונות נגד מטא בעצמה, מסר בתגובה להחלטה כי NOYB שמחה לראות את ההחלטה לאחר עשור של התדיינות משפטית; שהקנס היה יכול להיות הרבה יותר גבוה (יותר מ-4 מיליארד אירו); ושמטא תצטרך לבנות מחדש את מערכותיה בצורה יסודית. לדעתו של שרמס, "אין סיכוי אמיתי לביטול מהותי של ההחלטה הזו... ומטא תוכל במקרה הטוב לעכב קצת את תשלום הקנס". עוד הוסיף, שכעת "כל ספק ענן גדול אחר בארה"ב, כמו אמזון, גוגל או מיקרוסופט, עלול להיפגע עם החלטה דומה על פי חוק האיחוד האירופי".