Facebook-ova matična kompanija Meta kažnjena je sa rekordnih 1,3 milijarde dolara od strane regulatora Evropske unije za zaštitu podataka zbog prenošenja ličnih podataka korisnika iz regiona u SAD.
U obavezujućoj odluci koju je donio Evropski odbor za zaštitu podataka (EDPB), gigantu društvenih medija naloženo je da uskladi svoje prenose podataka s GDPR-om i izbriše nezakonito pohranjene i obrađene podatke u roku od šest mjeseci.
Pored toga, Meta je dobila pet mjeseci da obustavi svaki budući prenos podataka korisnika Facebook-a na američki Instagram, a WhatsApp, koji je takođe u vlasništvu kompanije, ne podliježe nalogu.
“EDPB je utvrdio da je kršenje Meta IE vrlo ozbiljno jer se radi o transferima koji su sistematski, ponavljaju se i kontinuirani su” rekla je Andrea Jelinek, predsjedavajuća EDPB-a u izjavi.
“Facebook ima milione korisnika u Evropi, tako da je obim prenetih ličnih podataka ogroman. Novčana kazna bez presedana snažan je signal organizacijama da ozbiljne povrede imaju dalekosežne posljedice.”
Europska tijela za zaštitu podataka u više navrata naglašavaju nedostatak ekvivalentne zaštite privatnosti kao što je GDPR u SAD-u, potencijalno omogućavajući američkim obavještajnim službama pristup podacima koji pripadaju Evropljanima na osnovu toga što se šalju na servere koji se nalaze u SAD-u.
Presuda proizilazi iz pravne žalbe koju je prije skoro deset godina u junu 2013. godine podnio austrijski aktivista za zaštitu privatnosti Maksimilijan Šrems, osnivač NOYB-a, zbog zabrinutosti da podaci korisnika EU nisu dovoljno zaštićeni od američkih programa masovnog nadzora kada se prenose preko Atlantika.
“Najjednostavnije rešenje bi bila razumna ograničenja u američkom zakonu o nadzoru” rekao je Schrems. “S obe strane Atlantika postoji razumijevanje da nam je potreban vjerojatan razlog i sudsko odobrenje nadzora.”
“Bilo bi vrijeme da se ove osnovne zaštite dodijele korisnicima iz EU-a američkih Cloud provajdera. Bilo koji drugi veliki američki Cloud provajder, kao što su Amazon, Google ili Microsoft, mogao bi biti pogođen sličnom odlukom prema zakonu EU.”
“Meta planira da se osloni na novi dogovor za buduće transfere, ali to vjerovatno nije trajno rešenje” dodao je Schrems. “Po mom mišljenju, novi dogovor ima možda deset posto šanse da ga CJEU ne ubije. Osim ako se američki zakoni o nadzoru ne poprave, Meta će vjerovatno morati zadržati podatke EU u EU.”
Schrems je takođe optužio Irsku komisiju za zaštitu podataka (DPC) da dosljedno pokušava blokirati slučaj i pokušava zaštititi Metu od novčane kazne i brisanja podataka koji su već preneseni, od kojih su posljednja dva poništen od strane EDPB-a.
Meta je u odgovoru rekla da namjerava uložiti žalbu na presudu, nazivajući kaznu “neopravdanom i nepotrebnom” i da postoji “temeljni sukob zakona” između pravila američke vlade o pristupu podacima i evropskih prava na privatnost.
“Bez mogućnosti prenosa podataka preko granica, internet rizikuje da bude podijeljen u nacionalne i regionalne silose, ograničavajući globalnu ekonomiju i ostavljajući građane u različitim zemljama u nemogućnosti da pristupe mnogim zajedničkim uslugama na koje smo se oslanjali” rekli su Meta zaposleni Nick Clegg i Jennifer Newstead.
Prošle godine, kompanija je upozorila da će, ako joj bude naređeno da suspenduje transfere u SAD, možda morati da prestane da nudi “određeni broj najznačajnijih proizvoda i usluga” u EU Prema Wall Street Journal-u, novi dogovor za transatlantski prenos podataka očekuje se da će biti finalizovan kao zamjena za Privacy Shield kasnije ove godine.
Kazna je najveća ikad izrečena u skladu sa zakonima EU o privatnosti GDPR-a, nadmašujući kaznu od 746 miliona eura (886,6 miliona dolara u to vrijeme) koja je prethodno izrečena Amazon-u u julu 2021. godine za slične povrede privatnosti.
Ovaj razvoj događaja predstavlja i treću novčanu kaznu koju je DPC izdao samo ove godine. U januaru je taj nadzor izrekao kaznu od 390 miliona eura zbog pogrešnog rukovanja korisničkim informacijama za prikazivanje oglasa na Facebook-u i Instagram-u.
Dvije sedmice kasnije, kažnjena je novčanom kaznom od 5,5 miliona eura zbog kršenja zakona o zaštiti podataka tako što je primorala svoje korisnike da „pristanu na obradu svojih ličnih podataka radi poboljšanja usluge i sigurnosti“ i „uslovljavanja pristupa svojim uslugama da korisnici prihvate ažurirane Uslove službe.”
Izvor: The Hacker News