W poniedziałek 22 maja 2023 r. świat obiegła informacja o nałożeniu na Meta Platforms Ireland Limited (Meta IE) – holding prowadzący m.in. Facebooka, najwyższej w historii kary w wysokości 1,2 mld euro. Grzywnę nałożono w toku dochodzenia prowadzonego przez irlandzki organ ochrony danych (IE DPA), w następstwie decyzji z dnia 13 kwietnia 2023 r. wydanej przez Europejską Radę Ochrony Danych (EROD) w ramach wiążącego rozstrzygania sporów. 

Wymierzenie grzywny związane jest z przesyłaniem danych użytkowników Facebooka z Unii Europejskiej do Stanów Zjednoczonych. Ta najwyższa pod rządami RODO grzywna została nałożona za przekazywanie przez Meta IE danych osobowych na podstawie standardowych klauzul umownych (SCC), co miało miejsce od 16 lipca 2020 r. Ponadto w ramach decyzji holding został zobowiązany do doprowadzenia swoich transferów danych do zgodności z przepisami RODO.

Dane milionów europejskich użytkowników na amerykańskich serwerach

Jak w udzielonym wywiadzie wskazała przewodnicząca EROD Andrea Jelinek:

„Naruszenie, którego dopuściła się Meta IE jest bardzo poważne, ponieważ dotyczy transferów, które są systematyczne, powtarzalne i ciągłe. Facebook ma miliony użytkowników w Europie, więc ilość przesyłanych danych osobowych jest ogromna. Bezprecedensowa kara jest silnym sygnałem dla organizacji, że poważne naruszenia mają daleko idące konsekwencje.”

W wiążącej decyzji EROD z dnia 13 kwietnia 2023 r. Irlandzki organ ochrony danych został poinstruowany o konieczności zmiany wcześniejszego projektu decyzji i nałożeniu grzywny na Meta IE.

Z uwagi na istotność naruszenia EROD uznała, iż grzywna powinna zostać wymierzona w wysokości od 20 % do 100 % maksymalnego, przewidzianego przepisami RODO zagrożenia karą. Jednocześnie Rada wydała zalecenia dla irlandzkiego organu nadzorczego, aby nakazał Meta IE doprowadzenie operacji przetwarzania do zgodności z przepisami RODO. Holding zobowiązano przy tym do zaprzestania niezgodnego z prawem przetwarzania danych w terminie 6 miesięcy, w tym przechowywania w Stanach Zjednoczonych przekazywanych z naruszeniem RODO danych osobowych użytkowników z Unii Europejskiej.

Ostateczna decyzja irlandzkiego organu ochrony danych zawiera ocenę prawną wyrażoną przez EROD w wiążącej decyzji, przyjętej na podstawie art. 65 ust. 1 lit. a RODO po tym, jak IE DPA, jako wiodący organ nadzorczy, uruchomił procedurę rozstrzygania sporów dotyczących zastrzeżeń zgłoszonych przez kilka zainteresowanych organów nadzorczych. Zgłoszone przez organy nadzorcze sprzeciwy miały na celu nałożenie administracyjnej kary pieniężnej lub dodatkowego nakazu doprowadzenia przetwarzania do zgodności z przepisami.

Holding zapowiedział odwołanie się od rozstrzygnięcia, w tym nałożonej grzywny.

Dotychczas nałożone kary

Skalę nałożonej na Meta IE kary (1,2 mld euro) obrazuje zestawienie jej z sumą kar wymierzonych w całym 2021 roku. Europejskie organy regulacyjne nałożyły wtedy blisko 1,1 mld euro kar z tytułu naruszeń przepisów RODO. Przy czym była to wartość siedmiokrotnie wyższa w porównaniu z rokiem 2020.

Rekordowa w 2021 roku kara w kwocie 746 mln euro została nałożona w Luksemburgu. Kolejną najwyższą w 2021 roku grzywnę w kwocie 225 mln euro wymierzył organ regulacyjny w Irlandii. W obu przywołanych przypadkach aktualnie toczą się postępowania odwoławcze. Trzecia najwyższa w historii kara z tytułu naruszenia przepisów RODO została nałożona we Francji i wyniosła 50 mln euro.

Warto wskazać, że Polska pod względem łącznej wysokości kar nałożonych od chwili wejścia w życie w 2018 roku przepisów RODO zajmuje 13. miejsce. Suma kar nałożonych w tym czasie przez Urząd Ochrony Danych Osobowych wyniosła niespełna 2,2 mln euro. Wartości nałożonych w Polsce kar wydają się być skromne – szczególnie w zestawieniu z tymi nałożonymi w Luksemburgu czy Irlandii. Wynika to jednak z faktu, że polski UODO jest nadzorcą względem znacznie mniejszych podmiotów niż organy w Europie Zachodniej, które nadzorują międzynarodowe holdingi. Pamiętać należy, że wysokość kar jest bowiem uzależniona m.in. od obrotu podmiotu kontrolowanego.