На петгодишнината од имплементацијата на Општата регулатива за заштита на личните податоци на Европската унија (GDPR), Ирската комисија за заштита на податоци (DPC) донесе одлука со која ја казни познатата компанија Meta Platforms Ireland Limited (“Meta Ireland”), сопственик на „Facebook“, со рекордни 1,2 милијарди евра за кршење на правилата за меѓународен пренос на лични податоци, односно поради пренос на личните податоци на корисниците на Фејсбук од ЕУ во САД без да обезбеди соодветни заштитни мерки.
Оваа казна доаѓа оттаму што GDPR ги поставува условите за пренос на податоци до трети земји од Европската Унија и во истиот е предвидено дека податоците може слободно да се пренесуваат во други земји доколку надлежните органи на ЕУ утврдат дека законодавството на земјата примател обезбедува соодветна заштита.
Бидејќи САД не се на списокот на земји кои обезбедуваат еднаква заштита на податоците на членките на ЕУ, мора да се исполнат дополнителни услови за такви трансфери, односно послабото ниво на заштита на податоците пропишано со законите на земја како што е САД може да се компензира со договори склучени помеѓу контролорите на податоците, обработувачите и/или примателите, кои содржат Стандардни договорни клаузули (SCC) и Меѓународна проценка за пренос на податоци (DTIA).
Иако Meta Ireland врши пренос на личните податоци врз основа на Договор за обработка на лични податоци кој ги содржи Стандардните договорни клаузули на Европската комисија од 2021 година и во кој е инкорпорирана и меѓународна проценка за пренос на податоци (DTIA) која ги идентификува ризиците и последиците од таквите трансфери, сепак во страна на Ирската комисија за заштита на податоци (DPC) во конкретниот случај утврдено е повреда на член 46(1) од GDPR.
Имено, во 2020 година, Европскиот суд на правдата ја донесе пресудата Schrems II[1] со која се заострија правилата за пренос на податоци во трети земји. Оваа пресуда утврдува дека стандардните договорни клаузули сè уште се сметаат за добра практика, но дека овие клаузули повеќе не се доволни. Контролорите на податоците не можат да се потпираат само на потпишан лист хартија, туку мора да се информираат за степенот на усогласеност на законодавството на земјата примач со GDPR.
Во овој случај, Ирската комисија за заштита на податоци (DPC), во соработка со Европскиот одбор за заштита на податоци (EDPB) и другите европски надлежни надзорни органи, одлучи дека напорите направени од Meta Ireland не се доволни за заштита на правата и слободите на луѓето чии лични податоци се пренесени.
Во својата одлука, покрај казната од 1,2 милијарди евра, Ирската комисија за заштита на податоци (DPC) и издаде наредба на Meta Ireland во рок од 6 (шест) месеци од денот на доставувањето на одлуката до Meta Ireland, да ја усогласи обработката на податоците со GDPR, да прекине со нелегалната обработка, вклучително и складирање на лични податоци на корисници од ЕЕА (Европска економска област) во САД, пренесени со прекршување на GDPR, како и да престане со секое идно пренесување на лични податоци во САД во рок од пет месеци од донесување на одлуката
Во одговорот на одлуката на Ирската комисија за заштита на податоци (DPC), Meta Ireland најави дека ќе поднесе жалба бидејќи смета дека одлуката е неправедна и превисока. Исто така, претставници на Meta Ireland изјавија дека нема да има итен прекин на услугите на Facebook во Европа.
Во одговорот на Meta Ireland, една од главните точки на дискусија беше фактот дека случајот Facebook е изведен во преден план, додека други организации кои ги обезбедуваат своите услуги на територијата на Европа ги користат истите правни механизми. Тврдењето на Meta Ireland дека и многу други компании користат слични мерки при пренос на податоци во трети земји, секако има одредена доза на вистина. Оттука, може да се каже дека Meta Ireland е само жртвено јагне и оваа одлука служи како предупредување за сите кои треба да вложат дополнителни напори за заштитата на личните податоци да се одржува на исто ниво дури и кога се пренесуваат на други континенти.
Да потсетиме дека Meta Ireland веќе неколку пати е казнетa од истиот орган поради непочитување на одредбите на GDPR, а оваа парична казна ја надминува дури и казната изречена на Amazon од страна на луксембуршката Национална комисија за заштита на податоците (CNDP) во јули 2021 година во износ од 746 милиони евра поради непочитување на прописите за заштита на личните податоци, што ја прави во моментов највисока казна во оваа област.