Kara dla Facebooka – czyli co dalej z transferami danych do USA?

1,2 mld euro kary nałożonej pod koniec maja br. przez irlandzki organ nadzorczy na Facebooka (spółkę Meta) za naruszenie przepisów RODO wciąż budzi niepokój wśród administratorów danych osobowych w Polsce i Europie. Czy w najbliższych latach przedsiębiorców czeka fala kar za nielegalne transfery danych do USA?

Odpowiedzialnym za aktualny zbiorowy ból głowy przedsiębiorców po ostatniej decyzji irlandzkiego organu nadzoru jest Max Schrems – założyciel NOYB, Europejskiego Centrum Praw Cyfrowych. To jego wniosek był tym kamieniem, który uruchomił lawinę – dwa kolejne wyroki Trybunału Sprawiedliwości Unii Europejskiej. Chodzi o rozstrzygnięcia tytułowane jego nazwiskiem, które wstrzymały istniejący wówczas mechanizm transferu danych do Stanów Zjednoczonych. Nie można jednak przypisać mu całej sprawczości za kwestionowanie rozwiązania, w którym jedynie formalnie starano się zapewnić Europejczykom dostateczną ochronę przed inwigilacją ze strony służb amerykańskich. Prędzej czy później ktoś musiał powiedzieć „sprawdzam”.

Wyrok w sprawie Schrems II spowodował, że obowiązująca wówczas decyzja Komisji Europejskiej Tarcza Prywatności podzieliła los swojej poprzedniczki, czyli Bezpiecznej Przystani, i przestała być podstawą transferu danych do USA. Spółka Meta po tym wyroku podjęła pewne działania mające zalegalizować takie operacje przetwarzania. Przekazywanie danych do Stanów oparła ona na standardowych klauzulach umownych, zaakceptowanych przez Komisję Europejską w 2021 r., oraz wprowadziła dodatkowe zabezpieczenia w celu spełnienia wymagania wynikającego z wyroku TSUE. Te środki zostały jednak zakwestionowane, gdy NOYB złożyła do irlandzkiego organu nadzoru jedną ze słynnych 101 skarg. Postępowanie podjęte przez organ nadzoru rozpoczęło się w maju 2021 r. i zakończyło dwa lata później, 22 maja 2023 r. decyzją irlandzkiego Data Protection Commission o nałożeniu kary na Meta w wysokości 1,2 mld euro.