İrlanda Veri Koruma Komisyonu (DPC), şirketin GDPR’nin (Genel Veri Koruma Yönetmeliği) 46(1) Maddesini ihlal ettiğini iddia ettikten sonra Facebook’a 1,3 milyar dolar para cezası verdiğini duyurdu.
Daha spesifik olarak, Facebook’un platformun AB merkezli kullanıcılarının verilerini, veri koruma düzenlemelerinin eyaletten eyalete değiştiği ve AB veri sahiplerinin haklarını korumak için yetersiz görüldüğü ABD’ye aktardığı tespit edildi.
GDPR’nin 46(1) Maddesi, kişisel verilerin güvenlik ve yasal düzeltme mekanizmalarını garanti altına alan güvencelere sahip olmayan ülkelere veya uluslararası kuruluşlara aktarılmasını yasaklar.
İhlalin bir sonucu olarak DPC, Facebook’un ana şirketi Meta Ireland’a 1,2 milyar Euro’luk (1,3 milyar $) rekor bir para cezası verdi ve karardan sonraki beş ay içinde GDPR’yi ihlal eden tüm veri aktarımlarının askıya alınmasını talep etti.
Ek olarak, DPA’nın duyurulmasından sonraki altı ay içinde Meta’nın AB’den ABD’ye yasa dışı olarak aktarılan herhangi bir veriyi işlemeyi veya tutmayı durdurması gerekecektir.
Zaman çizgisi
Facebook daha önce GDPR’nin 2016 AB-ABD Gizlilik Kalkanı kapsamında Avrupa ülkeleri ve ABD arasında veri aktarıyordu ve bu da AB verilerinin Gizlilik Kalkanı listesindeki ABD şirketleriyle depolanmasına izin veriyordu.
GDPR kapsamında uluslararası veri aktarımlarındaki değişiklikler, Temmuz 2020 tarihli “Schrems II” davasında değiştirilmiştir; burada ABAD, Gizlilik Kalkanı Kararına ilişkin tüm kişisel veri aktarımlarının yasa dışı olduğuna ve daha katı veri kontrol düzenlemelerinin getirilmesi gerektiğine karar vermiştir.
Ağustos 2020’de İrlanda DPC’si, Meta’nın veri aktarım faaliyetleri hakkında bir soruşturma başlattı. Temmuz 2022’de, teknoloji devinin GDPR’nin 46(1) Maddesini ihlal ettiğini vurgulayan bir karar taslağı yayınladı.
13 Nisan 2023’te Avrupa Veri Koruma Kurulu (EDPB), DPA’ya Meta’ya para cezası vermesi ve GDPR’ye uyması talimatını veren bağlayıcı bir karar aldı.
Bugün, İrlanda DPC’si EDPB’nin kararını yansıtan 1,3 milyar dolarlık idari para cezası veriyor ve ihlalin ciddiyeti göz önüne alındığında Meta’yı EDPB’nin yönergelerine göre belirlenen bir cezayla (geçerli maksimum cezanın %20 ila %100’ü) cezalandırıyor.
Meta’nın yanıtı
Sorunsuz sınır ötesi veri transferlerinin iş sürekliliği için çok önemli olduğunu söyleyen Meta, karara bir blog yazısı aracılığıyla yanıt verdi ve idari para cezası ve kısıtlama kararlarının Avrupa’daki hizmetleri üzerinde ciddi bir etkisi olacağını tespit etti.
Şirket, tüm transatlantik veri aktarımlarının, tüm kuruluşlar tarafından kullanılan ve ABAD’ın daha önce “yasal güvenceler” sağlamak için geçerli bir alternatif olarak kabul ettiği Standart Sözleşme Maddeleri (SCC’ler) tarafından kontrol edildiğini söylüyor.
Teknoloji devi, “Diğer binlerce işletme gibi Meta da Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun olduklarına inanarak SCC’ler kullandı” diyor.
Şirket, para cezasını haksız, gereksiz ve orantısız buluyor ve karara itiraz etmeyi ve para cezasının ve temel emirlerin ciddiyetine itiraz etmeyi planlıyor.
Meta, “Bu, bir şirketin gizlilik uygulamalarıyla ilgili değil – ABD hükümetinin verilere erişim kuralları ile Avrupa gizlilik hakları arasında, politika yapıcıların yaz aylarında çözmesi beklenen temel bir hukuk çatışması var” dedi.
Meta, EDPB’nin, DPC’nin şirketin daha önce iyi niyetle hareket ettiğine dair kabulünü görmezden gelme kararını eleştiriyor ve ayrıca yakında çıkacak olan Veri Gizliliği Çerçevesinin (DPF) yakında uygulanarak mevcut yasal ihtilafları çözeceğini göz önünde bulundurarak bu prosedürlerin kötü zamanlamasının altını çiziyor.