Meta bröt mot artikel 46.1 i dataskyddsförordningen (GDPR) genom att fortsätta överföra personuppgifter till USA efter EU-domstolens dom i Schrems II. Det konstaterar den irländska dataskyddsmyndigheten i ett nytt beslut.
Sanktionsavgiften: 1,2 miljarder euro.
Den irländska dataskyddsmyndigheten Data Protection Commission (DPC) har under en längre tid granskat Meta – företaget bakom bland annat Facebook och Instagram – och bolagets hantering av personuppgifter på Facebook. Granskningen har främst tagit sikte på bolagets överföringar av personuppgifter till USA i ljuset av EU-domstolens dom i det så kallade Schrems II-målet (C-311/18).
I ett första beslutsutkast, som publicerades den 6 juli 2022, konstaterade DPC att Meta Irelands överföringar av personuppgifter från EU till USA stod i strid med artikel 46.1 i GDPR och att Meta Ireland omedelbart ska upphöra med överföringarna. Beslutsutkastet lämnades också över till andra nationella tillsynsmyndigheter i EU, varav de flesta instämde i DPC:s bedömningar.
Vissa tillsynsmyndigheter hade däremot invändningar mot beslutsutkastet – särskilt i fråga om vilka påföljder som skulle bestämmas för överträdelsen. Frågan kom därför att hänvisas till Europeiska Dataskyddsstyrelsen (EDPB), som har befogenhet att fatta bindande och normerande beslut i bland annat enskilda överträdelseärenden.
Den 13 april 2023 konstaterade EDPB att Meta Ireland gjort sig skyldigt till mycket allvarliga överträdelser av GDPR. Enligt styrelsen handlade det om systematiska, repetitiva och kontinuerliga personuppgiftsöverföringar utan laglig grund som berörde miljontals EU-medborgare. Styrelsen ansåg också att det rörde sig om överträdelser som begåtts med ”åtminstone den högsta möjliga graden av oaktsamhet”. EDPB instruerade den irländska dataskyddsmyndigheten att – i tillägg till åläggandet om att upphöra med personuppgiftsöverföringar till USA – utfärda en administrativ sanktionsavgift mot Meta.
Under gårdagen, den 22 maj 2023, avslutades också DPC:s granskningsärende. I det slutliga beslutet åläggs Meta Ireland att avbryta all framtida överföring av personuppgifter till USA inom fem månader och i övrigt säkerställa att bolagets personuppgiftsbehandling stämmer överens med kapitel V i GDPR, även vad gäller befintlig lagring av personuppgifter i USA.
Samtidigt åläggs Meta Ireland en administrativ sanktionsavgift på 1,2 miljarder euro – det vill säga omkring 13,7 miljarder kronor. Det är den enskilt högsta sanktionsavgift som utfärdats sedan GDPR trädde i kraft, för nästan exakt fem år sedan.
DPC:s beslut kommer samtidigt som EU pågående process att anta ett nytt så kallat adekvansbeslut för USA – vilket återigen skulle kunna möjliggöra enkla personuppgiftsöverföringar mellan europeiska och amerikanska företag. Om ett sådant beslut kommer att innebära någon lättnad för Meta på längre sikt är däremot inte klart. Det dataöverföringsavtal som ligger till grund för EU-kommissionens adekvansbeslutsutkast, som publicerades strax innan årsskiftet, har redan fått kritik från bland annat Europaparlamentet och intresseorganisationen NOYB – och kommer sannolikt att ge upphov till nya rättsprocesser.
Om du har frågor om DPC:s beslut eller överföringar av personuppgifter till USA är du välkommen att kontakta Jonas Forzelius och Esa Kymäläinen, advokater och partners, eller Firel Danho, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
