Facebook’un sahibi olan Meta, 1.2 milyar Euro para cezasına çarptırıldı ve Avrupa’daki Facebook kullanıcılarından ABD’ye veri aktarımını askıya alması emredildi.
İrlanda Veri Koruma Komiseri tarafından verilen para cezası, Avrupa Birliği tarafından veri koruma düzenlemelerini ihlal ettiği için verilen en büyük para cezası.
Kararın, şu anda düzenleyici belirsizlikle karşı karşıya olan Avrupa ve ABD arasında veri paylaşan şirketler için daha geniş sonuçları olması bekleniyor.
Veri Koruma Komisyonu (DPC), Meta Ireland’ın Avrupa Adalet Divanı’nın 2020’de Avrupa’dan ABD’ye aktarılan veriler için ek gizlilik korumaları gerektiren bir kararına uymayarak Genel Veri Koruma Yönetmeliğini ihlal etmeye devam ettiğini tespit etti.
DPC, Meta Ireland’ın, ABD’ye veri aktarımı için AB onaylı bir yasal mekanizma olan Standart Sözleşme Maddelerini (SCC’ler) ek önlemlerle birlikte kullanmasının, “veri konularının belirlenen temel hak ve özgürlüklerine yönelik riskleri” ele almadığını tespit etti. ABAD tarafından kararında.”
Karara göre, Meta Ireland’ın ABD’ye gelecekteki veri transferlerini beş ay içinde askıya alması gerekiyor.
GDPR’yi ihlal ederek aktarılan AB kişisel verilerinin ABD’de yasa dışı işlenmesini ve saklanmasını durdurarak işleme operasyonlarını Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun hale getirmesi için altı ay süre verildi.
Meta ‘tehlikeli emsal’ iddia ediyor
Meta, “haksız ve gereksiz para cezası” da dahil olmak üzere karara itiraz edeceğini ve mahkemeler aracılığıyla kararın durdurulmasını isteyeceğini söyledi.
Meta Global İşler Başkanı Nick Clegg ve Baş Hukuk Sorumlusu Jennifer Newstead bir blog yazısında, kararın AB ile ABD arasında veri aktaran diğer şirketler için tehlikeli bir emsal oluşturacağını söyledi.
Yetkililer, “Bu karar kusurlu, haksız ve AB ile ABD arasında veri aktaran diğer sayısız şirket için tehlikeli bir emsal teşkil ediyor” dedi.
DPC, Meta’nın Avrupa Adalet Divanı’nın 2020’de ABD ile Avrupa arasındaki ABD-AB veri paylaşım anlaşmasını, Privacy Shield’ı iptal eden bir kararını ihlal ettiğini tespit etti.
2020 kararı, verileri ABD’ye aktarmak için yasal dayanak olarak Standart Sözleşme Maddelerini kullanan şirketler için daha katı gereklilikler getirdi.
Mahkeme, insanlara verileri ABD’ye ve diğer ülkelere aktarıldığında, AB’de GDPR ve insanlara haklarını garanti eden Avrupa Temel Haklar Şartı kapsamında alacakları gibi, “esasen eşdeğer koruma” verilmesi gerektiğine karar verdi. özel iletişimler ve özel verilerinin korunması.
Standart Sözleşme Maddeleri
Davanın, verileri AB’den ABD’ye aktarmak için yasal bir mekanizma olarak AB Standart Sözleşme Maddelerine dayanan şirketler üzerinde zincirleme bir etkisi olacaktır.
Trans-Atlantik Veri Gizliliği Çerçevesi olarak bilinen veri koruma yeterliliği konusunda yeni bir anlaşmayı sonuçlandırması için AB ve ABD üzerinde baskı oluşturması da muhtemeldir.
Avukat Edward Machin, “DPC’nin standart sözleşme hükümlerinin kişisel verileri ABD’ye aktarmak için geçerli bir mekanizma olmadığına dair kararı, her şekil ve büyüklükteki kuruluşun Avrupa’dan yasal olarak veri paylaşma ve alma becerisi üzerinde önemli bir etkiye sahip olacaktır” dedi. , hukuk firması Ropes & Gray’s’de.
“Ayrıca, milletvekilleri için AB-ABD veri aktarım çerçevesini, DPC’nin Meta’ya aktarımlarını uyumlu hale getirmesi için verdiği altı aylık geçiş döneminin bitiminden önce tamamlaması için zamana karşı bir yarış başlatacak” diye ekledi.
On yıllık hukuk savaşı
Karar, Avusturyalı avukat Max Schrems ile Meta arasındaki on yıllık hukuk mücadelesinin sonuncusu.
Temelinde, AB Gizlilik yasaları ile ABD istihbarat teşkilatlarına ABD vatandaşı olmayanların kişisel verilerini ve iletişimlerini toplamak için kapsamlı yetkiler veren Yabancı İstihbarat İzleme Yasası (FISA) dahil olmak üzere ABD gözetim yasaları arasındaki tutarsızlık vardır.
Schrems yaptığı açıklamada, ABD vatandaşlarının ABD dışında hedef alınmasına izin veren FISA 702 de dahil olmak üzere ABD gözetim yasalarının Microsoft, Google veya Amazon gibi diğer tüm büyük ABD bulut sağlayıcıları için de bir sorun olduğunu söyledi.
“ABD gözetim yasaları düzeltilmedikçe, Meta sistemlerini temelden yeniden yapılandırmak zorunda kalacak” dedi.
“Atlantik’in her iki yakasında da gözetleme için olası bir nedene ve adli onaya ihtiyacımız olduğu konusunda bir anlayış var. ABD bulut sağlayıcılarının AB müşterilerine bu temel korumaları sağlamanın zamanı geldi” diye ekledi.
AB-ABD veri korumasının geleceği
Trans-Atlantik Veri Gizliliği Çerçevesinin Yaz aylarında yürürlüğe girmesi bekleniyor, ancak daha fazla yasal zorlukla karşılaşması bekleniyor.
Yasal bir itiraz, yeni çerçevenin daha önce 2020’de önceki Gizlilik Kalkanı’nı ve 2015’te Güvenli Liman’ı iptal eden Avrupa Mahkemesi tarafından devrilmesine neden olabilir.
Londra hukuk firması Fladgate’in veri koruma ortağı Eddie Powell, Meta’nın cezasının boyutunun, Meta’nın sistemlerinin, sosyal medya platformlarında toplanan verilerin “herhangi bir güvenlik önlemi olmadan” ABD’ye gönderilmesi gerektiği şekilde yapılandırıldığı gerçeğini yansıttığını söyledi. .
Ancak, Meta’nın dünya çapındaki cirosunun yaklaşık %1’ine eşdeğer olan para cezasının, Meta’nın dünya çapındaki cirosunun en fazla %4’üne kadar önemli ölçüde daha yüksek olabileceğini söyledi.
Meta: ‘ciddi sorular’
Clegg ve Newstead, blog gönderilerinde DPC’nin “başlangıçta Meta’nın AB-ABD veri aktarımlarına iyi niyetle devam ettiğini ve para cezasının gereksiz ve orantısız olacağını kabul ettiğini” ancak Avrupa Veri Koruma Kurulu tarafından geçersiz kılındığını söyledi.
Bağımsız Avrupa veri koruma düzenleyicisi olan EDPB’nin, ABD hükümetinin Avrupa verilerine erişimi ile Avrupalıların mahremiyet hakları arasındaki “temel çatışmayı” çözmek için politika yapıcıların kaydettiği ilerlemeyi göz ardı etmeyi seçtiğini savundular.
Karar, “EDPB’nin söz konusu şirkete söz hakkı vermeden çok yıllı soruşturmasının bulgularını göz ardı ederek bir lider düzenleyiciyi bu şekilde geçersiz kılmasına olanak tanıyan bir düzenleyici süreç hakkında ciddi soruları gündeme getiriyor” dediler.