Mamy nowy rekord! Meta Ireland oberwała największą dotychczas karą za naruszenie RODO. Irlandzki organ ochrony danych (DPC) w końcu wydał decyzję i W KOŃCU (nie z własnej woli, ale o tym później) nałożył na firmę Marc’a Zuckerberg’a administracyjną karę pieniężną w wysokości 1.200.000.000 Euro. Najlepsze w tym wszystkim, że to nie wszystko, to tylko 1 z 3 obowiązków wskazanych w decyzji. Pozostałe dwa obowiązki to:
- zawieszenie przyszłego transferu (z UE do Stanów Zjednoczonych) danych użytkowników przebywających w UE w terminie 5 miesięcy;
- zapewnienie zgodnego z prawem przetwarzania danych, w szczególności poprzez zaprzestanie niezgodnego z prawem przetwarzania i przechowywania danych w Stanach Zjednoczonych, w terminie 6 miesięcy.
Co to oznacza dla Mety?
Innymi słowy Meta (Facebook, Instagram, WhatsApp) muszą zaprzestać przesyłania danych z Unii Europejskiej do Stanów Zjednoczonych oraz de facto zwrócić wszystkie dane, które już trafiły do USA, z powrotem do Unii Europejskiej. No i oczywiście dodatkowo zapłacić 1.200.000.000 Euro (o rany, podoba mi się to ile tam jest zer 🥰🥰🥰).
Byłoby idealnie, gdyby ta kara została wykonana, ale… Mam jednak poważne wątpliwości żeby tak się stało. Powodów jest wiele, a w skrócie chodzi o to, że to jest „dopiero” decyzja. Meta się może od niej odwołać, chociaż będzie jej ciężko zbić wszystkie argumenty, bo ta sprawa przeszła już dotychczas przez chyba wszystkie instancje. Ten case był już częściowo rozpatrywany przez irlandzki sąd najwyższy, przez Trybunał Sprawiedliwości Unii Europejskiej [uchylenie Bezpiecznej Przystani ⛵ i Tarczy Prywatności 🛡️], a także przez Europejską Radę Ochrony Danych [to ona powiedziała DPC, że MUSI nałożyć karę]. Znając Metę, będą się bronić nogami i rękoma, więc to dopiero początek (mam nadzieję, że początek końca).
Co to oznacza dla prywatności w ogóle?
To jest ogromny krok w kierunku zabezpieczenia danych nas wszystkich. To znak dla innych podmiotów (Google, Microsoft, TikTok i inni, którzy wysyłają dane do USA), że Europa zaczyna stawiać na swoim pod kątem prywatności. Niestety… problem jest mega szeroki i nie da się tego sprowadzić do prostego stwierdzenia „wystarczy żeby dane Europejczyków i Europejek były przetwarzane w UE”. Ale o tym… już niedługo. 😋
Na zakończenie (niestety) czas na łyżkę dziegciu. Od dawna powtarzam, że RODO jest dobrze napisanym aktem. To, co jest jednak problemem, to wykonywanie decyzji, które wydają organy ochrony danych. Administratorzy (szczególnie duzi gracze właśnie pokroju Mety) nauczyli się ignorować RODO (tutaj odsyłam do ostatniego news’a o Clearview AI) i wykorzystywać formalności do omijania przepisów. Ja wiem, to jest już klasyka gatunku jeśli chodzi o prawo (believe me I know… been there, done that…), ale po prostu mam wątpliwości. Przykładowo, Meta po nałożeniu tej kary prawie w ogóle nie odczuła tego na giełdzie (wartość akcji wahała się w granicach do 1% za akcję).
Znaczy, inaczej…
Nie uważam, że jest źle z „tym RODEM”. Wręcz przeciwnie akurat RODO wywarło realny wpływ na sposób myślenia o przetwarzaniu danych. Bez RODO prawdopodobnie nie mielibyśmy takich dyskusji na poziomie globalnym dotyczących m.in. cookies’ów🍪, czy wpływu przetwarzania danych przez AI 🤖. I okay, ja zdaję sobie sprawę, że to proces, a co gorsza, proces międzynarodowy, co jeszcze bardziej spowalnia jego wdrażanie. Czego mi jednak brakuje, to realnej sprawczości organów ochrony danych i egzekwowalności ich decyzji.
Dla wytrwałych, na koniec ciekawy raport dotyczący właśnie pracy organów ochrony danych. A jeśli chcesz poczytać trochę i dowiedzieć się więcej o przesyłaniu danych z UE do USA, to ostatnio (tutaj) dodałem nowy wpis na ten temat.