Meta får 1,2 miljarder euro i sanktionsavgift

Den 22 maj 2023 publicerades två samhörande beslut rörande Metas (Facebooks) överföring av personuppgifter till USA. Det ena beslutet fattades av Europeiska Dataskyddsstyrelsen (European Data Protection Board, EDPB) den 13 april 2023 och det andra beslutet, som följer EDPB:s beslut, fattades av den irländska dataskyddsmyndigheten (Data Protection Commission, DPC) den 12 maj 2023. Beslutet från DPC innebar att Meta ska betala en sanktionsavgift om 1,2 miljarder EUR för överträdelser av GDPR:s tredjelandsregler.

Beslutet om sanktionsavgift hade föregåtts av flera år av rättsliga prövningar i flera instanser. Det ursprungliga klagomålet som låg till grund för beslutet lämnades av Maximilian Schrems när han redan 2013 klagade på att Facebook för över europeiska användares personuppgifter till USA.

När DPC tog fram sitt ursprungliga utkast till beslut innehöll utkastet inte någon sanktionsavgift, utan endast ett föreläggande om att upphöra med överföringarna till USA. Under samrådsprocessen (enligt artikel 60 GDPR) motsatte sig dock den österrikiska, franska, spanska och tyska tillsynsmyndigheten att endast ett förbud mot överföringen skulle vara tillräckligt. Detta ledde i sin tur till att frågan hamnade hos EDBP enligt den myndighetsinterna tvistlösningsmekanismen i artikel 65. EDBP höll med de fyra invändande myndigheterna och beslutade att en sanktionsavgift om 1,2 miljarder euro skulle dömas ut. Då beslut av EDBP inom ramen för ett artikel 65-förfarande är bindande, ledde detta till att DPC i slutändan ålade Meta den av EDBP beslutade sanktionsavgiften.

Grunden för sanktionsavgiften var att Meta inte vidtagit tillräckliga kompletterande åtgärder för att skydda de personuppgifter som varit föremål för överföring till USA. Sanktionsavgiften dömdes ut trots att Meta hade implementerat de uppdaterade standardavtalsklausulerna och dessutom genomfört gedigna riskanalyser (s.k. Transfer Impact Assessments). Precis som Meta uppgav hade de vidtagit samma åtgärder som alla andra organisationer runt om i världen och att de därför inte medvetet hade brutit mot GDPR.

EDBP bedömde dock att de åtgärder som vidtagits av Meta inte varit tillräckliga och att överträdelsen utgjort ett allvarligt brott mot GDPR, i synnerhet på grund av den stora mängden data och det faktum att den data som överförts till USA både kunnat vara känslig enligt artikel 9 och integritetskänslig i allmänhet. EDBP ansåg dessutom inte att ett förbud skulle vara tillräckligt, eftersom det inte hade inneburit någon påföljd för alla historiska överträdelser. En sanktionsavgift var därför, i EDBP:s mening, nödvändig.

Beslutet är det första stora beslutet som träffar brott mot tredjelandsreglerna och bekräftar att det alltjämt är mycket svårt att föra över personuppgifter till USA och samtidigt efterleva tredjelandsreglerna i GDPR. Det finns dock några viktiga medskick att ta fasta på:

• Det följer uttryckligen av beslutet att det fortfarande finns utrymme för ett riskbaserat förhållningssätt när organisationer analyserar tredjelandsöverföringar, dock att Meta inte kunde förlita sig på det i detta fall då det rörde så stora mängder och i många fall känsliga data.

• Det var trots allt bara fyra tillsynsmyndigheter som inte höll med om DPC:s initiala beslut som inte innebär någon sanktionsavgift. Även om dessa myndigheter i slutändan fick rätt, var det en stor majoritet av myndigheterna som höll med om att någon sanktionsavgift inte var nödvändig.

• Ett adekvansbeslut blir allt viktigare för organisationer och förhoppningsvis kan det snart vara en verklighet.

Meta har bekräftat att de kommer överklaga beslutet och vi kommer med stort intresse följa både detta och adekvansbeslutsprocessen.