Unijne rozporządzenie o ochronie danych General Data Protection Regulation (GDPR), które weszło w życie pod koniec maja 2018 roku (niemal pięć lat temu), lepiej znane jest w Polsce pod nazwą mitycznego RODO. Za przestrzeganie zapisów GDPR, a w szczególności kontrolę ważnych spółek technologicznych z Doliny Krzemowej, odpowiada irlandzka komisja DPC (Data Protection Commission), którą możemy potraktować jako odpowiednik naszego UODO – Urzędu Ochrony Danych Osobowych. Ale od razu musicie wiedzieć, że unijni regulatorzy w detal się nie bawią. Niech za przykład posłuży Amazon.
W 2021 roku luksemburski organ nadzorczy (CNPD) nałożył na amerykańskiego giganta e-commerce rekordową karę w wysokości 746 mln euro za nieprzestrzeganie przepisów GDPR związanych z targetowaniem reklam. Tymczasem praktykami Mety, w zakresie transferu danych użytkowników na serwery w USA, unijni regulatorzy interesują się już od dawna.
Porozumienia w zakresie UE-USA Data Privacy Framework (umowy o zakresie transferu danych między obiema stronami Atlantyku) nadal nie ma, co na pewno stanowi utrudnienie. Sprawa otarła się już w międzyczasie o TSUE (Trybunał Sprawiedliwości Unii Europejskiej), który w 2020 roku unieważnił obowiązujący wcześniej mechanizm transferu danych oparty o tzw. Tarczę Prywatności (Privacy Shield), w obawie o potencjalne ryzyko wykorzystania przez rządowe agencje w USA.
Meta pobiła rekord Amazonu i dostaje kluczowy nakaz. Co dalej?
DPC nałożyła na koncern Meta rekordową karę finansową w wysokości 1,2 mld euro. Komisja nakazuje również zawieszenie przyszłych transferów danych osobowych do USA w ciągu pięciu miesięcy od daty powiadomienia o decyzji oraz zaprzestanie niezgodnego z prawem przetwarzania danych osobowych użytkowników UE/EOG przeniesionych już na amerykańskie serwery spółki w ciągu sześciu miesięcy od daty powiadomienia o decyzji DPC.
No i co teraz? Nie ma powodów do paniki. Jak podaje w oficjalnym komunikacie Meta, Nick Clegg: There is no immediate disruption to Facebook in Europe (w wolnym tłumaczeniu nie ma żadnego ryzyka dla zakłócenia działalności Facebooka w Europie). Dzisiejsza decyzja DPC nakładająca ban na transfer danych użytkowników Facebooka poza Europę nie oznacza, że Mark Zuckerberg natychmiast pobiegnie do centrum sterowania wszechświatem i wyłączy największą społecznościówkę na Ziemi na terenie unijnej wspólnoty.
Jednak przy tej okazji Clegg zwraca uwagę na fundamentalny konflikt prawny między regulacjami rządu USA dotyczącymi dostępu do danych, a europejskimi prawami do prywatności, który to decydenci mają rzekomo rozwiązać już latem (mowa o wspomnianym wcześniej UE-USA Data Privacy Framework).
Czytaj też: Eksperci z Meta, Microsoft, IBM, Nvidia i Niebezpiecznik na Infoshare 2023
Oczywiście Meta broni się argumentem używania tych samych mechanizmów, jakich używają pozostałe podmioty wykorzystujące transfer danych między UE i USA. W domyśle chodzi o tzw. Standardowe Klauzule Umowne (SCC), które stosowano jako alternatywne rozwiązanie prawne umożliwiające transfer danych. Praktykami Meta zainteresowała się jednak po drodze Europejska Rada Ochrony Danych (European Data Protection Board), która dorzuciła DPC dodatkowego paliwa do ognia skierowanego na właściciela amerykańskiej społecznościówki.
Czego należało się za to spodziewać to fakt, że Meta natychmiast wystosuje apelację od decyzji DPC nakładającej dotkliwą karę finansową i wspomniany nakaz. Wydaje się, że w dłuższej perspektywie gigant będzie musiał jednak pozostawić dane europejskich użytkowników na serwerach w tej części świata, co z pewnością odbije się szerokim echem w gronie innych spółek, które swobodnie transferują nasze dane do USA.