Комиссия по защите данных объявляет о завершении расследования в отношении Meta Ireland | 22.05.2023

Комиссия по защите данных («DPC») сегодня объявила о завершении своего расследования в отношении Meta Platforms Ireland Limited («Meta Ireland»), изучая основание, на котором Meta Ireland передала персональные данные из ЕС/ЕЭЗ в США в связи с представление сервиса Facebook.

DPC принял окончательное решение по этому запросу 12 мая 2023 года. В решении записано, что Meta Ireland нарушила статью 46(1) GDPR, когда продолжила передачу персональных данных из ЕС/ЕЭЗ в США после вынесения решения CJEU в Комиссар по защите данных против Facebook Ireland Limited и Максимилиана Шремса. Хотя Meta Ireland осуществила эти передачи на основе обновленных Стандартных договорных условий («SCC»), принятых Европейской комиссией в 2021 году в сочетании с дополнительными дополнительными мерами, реализованными Meta Ireland, DPC обнаружил, что эти договоренности не учитывают риски для прав и свобод. Субъекты основных данных, указанные СЕС в его положении.

Первоначально расследование было начато в августе 2020 года, а затем было приостановлено по распоряжению Высокого суда Ирландии до вынесения решения по ряду судебных разбирательств до 20 мая 2021 года. После тщательного расследования DPC подготовил проект решения от 6 мая 2021 года. Июль 2022 г. Установлено, что:

1. Передача данных, о которой идет речь, была осуществлена ​​с нарушением статьи 46 (1) GDPR; И

2. При таких обстоятельствах передача данных должна быть приостановлена.

В соответствии с процедурой сотрудничества, предусмотренной GDPR (статья 60), проект решения, подготовленный Комитетом по защите данных (DPC), был передан соответствующим регулирующим органам ЕС/ЕЭЗ, также известным как соответствующие надзорные органы («CSA»). . . . Характер обработки, рассматриваемой в ходе расследования, был таков, что все другие надзорные органы ЕС/ЕЭЗ были задействованы в качестве совместных гарантийных агентств с целью осуществления сотрудничества.

Что касается несоблюдения Meta Ireland GDPR и ходатайства DPC о приостановке передачи данных, CSA согласилось с решением DPC.

Небольшое количество (4) из 47 ICA выдвинули возражения в отношении корректирующих полномочий, которые DPC предложил осуществить посредством проекта резолюции. В рамках этого подмножества общих соглашений о залоге все четыре FSA постановили, что Meta Ireland должна быть подвергнута административному штрафу за обнаруженное нарушение. Два из этих агентств постановили, что Meta Ireland должна издать приказ о принятии мер по обработке персональных данных, уже незаконно переданных в Соединенные Штаты, то есть данных, переданных с июля 2020 года по настоящее время.

DPC не согласился, отражая свое мнение о том, что применение дополнительных исправительных полномочий, помимо предложенного приказа о приостановлении, выйдет за рамки полномочий, которые можно охарактеризовать как «соответствующие, пропорциональные и необходимые» для устранения нарушения статьи 46 (1) GDPR.

После процесса неофициальных консультаций стало ясно, что консенсуса достичь не удастся. В соответствии со своими обязательствами в соответствии с Общим регламентом по защите данных (GDPR) DPC передала возражения в Европейский совет по защите данных («EDPB») для рассмотрения в соответствии с механизмом разрешения споров по статье 65.

EDPB принял свое решение 13 апреля 2023 г. В соответствии со своими обязательствами принять окончательное решение «на основании» решения EDPB, решение DPC от 12 мая 2023 г. фиксирует осуществление DPC следующих правовых полномочий:

1. приказ, изданный в соответствии с разделом 58(2)(j) GDPR, который требует, чтобы Meta Ireland приостановила любую будущую передачу Персональных данных в Соединенные Штаты в течение пяти месяцев с даты уведомления Meta Ireland о решении DPC;
2. административный штраф в размере 1,2 миллиарда евро (что отражает решение EDPB о наложении административного штрафа за установленное нарушение. DPC определил сумму штрафа, подлежащего наложению, со ссылкой на оценки и решения которые были включены в решение EDPB); И
3. Приказ, изданный в соответствии с разделом 58(2)(d) GDPR, который обязывает Meta Ireland привести свои операции обработки в соответствие с главой 5 GDPR, прекратив незаконную обработку, включая хранение, в Соединенных Штатах персональных данных пользователей из ЕС/ЕЭЗ. переданы в нарушение Общего регламента по защите данных (GDPR) в течение 6 месяцев после даты уведомления Meta Ireland о решении DPC.

в EDPB разместил решение по статье 65 и окончательное решение на своем веб-сайте..