Sonunda oldu: Eskiden Facebook olarak bilinen Meta, Avrupa Birliği kullanıcı verilerini işlenmek üzere ABD’ye ihraç etmeyi durdurmasını gerektiren resmi bir askıya alma emriyle vuruldu.
bu Avrupa Veri Koruma Kurulu (EDPB) bugün Meta’nın 1,2 milyar € (yaklaşık 1,3 milyar $) para cezasına çarptırıldığını doğruladı – bu, bloğun Genel Veri Koruma Yönetmeliği (GDPR) kapsamında bir ceza için rekor bir meblağ gibi görünüyor. (Önceki rekor, 2021’de müşteri verilerini reklam hedeflemesi için kötüye kullandığı için 887 milyon dolara sokulan Amazon’a ait.)
Meta’nın yaptırımı, insanların bilgileri için yeterli koruma sağlamadan kişisel verilerin sözde üçüncü ülkelere (bu durumda ABD) transferini düzenleyen pan-AB düzenlemesinde belirtilen koşulların ihlali içindir.
Avrupalı yargıçlar daha önce ABD gözetim programlarının AB gizlilik haklarıyla çeliştiğini bulmuştu.
EDPB başkanı Andrea Jelinek, bugünkü kararını açıklayan bir basın açıklamasında şunları söyledi:
EDPB, Meta IE’nin ihlalinin sistematik, tekrarlayan ve sürekli aktarımlarla ilgili olduğu için çok ciddi olduğunu tespit etti. Facebook’un Avrupa’da milyonlarca kullanıcısı var, bu nedenle aktarılan kişisel verilerin hacmi çok büyük. Benzeri görülmemiş para cezası, kuruluşlara ciddi ihlallerin geniş kapsamlı sonuçları olduğuna dair güçlü bir işarettir.
EDPB’nin bağlayıcı kararını uygulamaktan sorumlu kurum olan İrlanda Veri Koruma Komisyonu (DPC) bu yazıyı yazdığı sırada herhangi bir yorumda bulunmamıştı. (Ama o nihai karar burada bulunabilir.)
Meta hızla bir Blog yazısı temyize gideceğini teyit ettiği askıya alma kararına verdiği yanıtla. Küresel ilişkilerden sorumlu başkan Nick Clegg ve baş hukuk yetkilisi Jennifer Newstead’in yazdığı gibi, konuyu kendi mahremiyet uygulamalarından ziyade AB ve ABD yasaları arasındaki bir ihtilaftan sorumlu tutmaya çalıştı:
Bu kararlara itiraz ediyoruz ve bu kararların Facebook’u her gün kullanan milyonlarca insan da dahil olmak üzere yol açacağı zararı göz önünde bulundurarak, uygulama sürelerini durdurabilecek mahkemelere derhal bir durdurma talebinde bulunacağız.
Nisan ayında, reklam teknolojisi devi yatırımcıları, küresel reklam gelirinin yaklaşık %10’unun AB veri akışlarının askıya alınmasının fiilen uygulanması durumunda risk altında olacağı konusunda uyardı.
Karar öncesinde olası bir uzaklaştırma için ne tür hazırlıklar yapıldığı sorulduğunda, Meta sözcüsü Matthew Pollard “ek rehberlik” sağlamayı reddetti. Bunun yerine, şirketin davanın yeni bir transatlantik veri üzerinde çalışan AB ve ABD’li milletvekilleri tarafından çözülme sürecinde olduğunu öne sürdüğü “AB ve ABD yasalarının tarihi bir çatışması” ile ilgili olduğunu iddia ettiği daha önceki bir açıklamaya geri döndü. transfer düzenlemesi. Ancak Pollard’ın bahsettiği yeniden başlatılan transatlantik veri çerçevesi henüz kabul edilmedi.
Bugünkü para cezası ve askıya alma kararı Facebook ile sınırlı olsa da, Meta’nın AB-ABD veri aktarımlarına bağlı devam eden yasal belirsizlikten etkilenen tek şirket olmadığını da belirtmekte fayda var.
İrlanda DPC’sinin kararı, Facebook’un İrlanda’daki yan kuruluşuna yapılan bir şikayetten kaynaklanıyor. Neredeyse on yıl önce, Meta’nın AB’deki önde gelen veri koruma düzenleyicisini sesli bir şekilde eleştiren ve İrlandalı gizlilik düzenleyicisini bloğun kural kitabının etkili bir şekilde uygulanmasını engellemek için kasıtlı olarak uzun ve dolambaçlı bir yol izlemekle suçlayan gizlilik kampanyacısı Max Schrems tarafından .
Schrems, AB-ABD veri akışları kıyamet döngüsünü düzeltmenin tek kesin yolunun ABD’nin ısırgan otunu kavraması ve gözetim uygulamalarını yeniden düzenlemesi olduğunu savunuyor.
Bugünün siparişine bir açıklamada yanıt vermek (kar amacı gütmeyen gizlilik hakları aracılığıyla, noyb), Schrems şunları söyledi: “On yıllık davadan sonra bu kararı görmekten mutluyuz. Azami para cezasının 4 milyardan fazla olduğu ve Meta’nın on yıl boyunca kar elde etmek için yasayı bilerek çiğnediği göz önüne alındığında, para cezası çok daha yüksek olabilirdi. ABD gözetim yasaları düzeltilmedikçe, Meta sistemlerini temelden yeniden yapılandırmak zorunda kalacak.”
Bölgesel merkezleri İrlanda’da bulunan birden fazla teknoloji devini denetleyen DPC, süreçlerinin karmaşık sınır ötesi vakalarda durum tespiti yapmak için gerekli olanı yansıttığını savunarak, eylemlerinin GDPR’nin uygulanması için bir darboğaz oluşturduğu yönündeki eleştirileri rutin olarak reddediyor. Ayrıca, genellikle, kararların alınmasındaki gecikmelerin suçunu, taslak kararlarına itiraz eden diğer denetim otoritelerinin üzerine atmaya çalışır.
Bununla birlikte, DPC’nin Big Tech’e karşı karar taslak kararlarına yapılan itirazların, GDPR’ye dahil edilmiş bir işbirliği mekanizması aracılığıyla daha güçlü yaptırımların uygulanmasına yol açması dikkat çekicidir – örneğin: karşı önceki kararlar Meta Ve Twitter. Bu, İrlanda düzenleyicisinin rutin olarak altında-GDPR’nin en güçlü dijital platformlarda uygulanması ve bunun, yürütme sürecini zorlaştırdığı için yönetmeliğin verimli işlemesi için ek sorunlar yaratacak şekilde yapılması. (Örneğin, Facebook veri akışları davasında, DPC’nin taslak kararına itiraz edildi. geçen Ağustos – bu nedenle, bu taslaktan nihai bir karara ve askıya alma emrine şimdi varmak yaklaşık dokuz ay sürdü.)
Yukarıda belirtildiği gibi, bugünkü kararla DPC, İrlanda’nın karar taslağıyla ilgili süregelen anlaşmazlığı çözmek için EDPB tarafından geçen ay alınan bağlayıcı bir kararı da fiilen uyguluyor – bugün Meta’da sipariş edilenlerin özü o kadar çok ki, İrlanda’dan değil. Dublin, ancak mahremiyet düzenleyicileri için bloğun denetim organından.
Görünüşe göre bu, bir mali cezanın varlığını da içeriyor – çünkü Kurul, DPC’ye taslağını bir ceza içerecek şekilde tadil etmesi talimatını verdiğini not ederek şunları yazdı:
İhlalin ciddiyeti göz önüne alındığında, EDPB para cezasının hesaplanması için başlangıç noktasının geçerli yasal maksimumun %20’si ile %100’ü arasında olması gerektiğini tespit etti. EDPB ayrıca IE DPA’ya, Meta IE’ye, GDPR’yi ihlal ederek aktarılan Avrupalı kullanıcıların kişisel verilerinin ABD’de yasa dışı işlenmesini (depolama dahil) 6 ay içinde sona erdirerek, işleme operasyonlarını Bölüm V GDPR ile uyumlu hale getirmesi talimatını verdi. IE SA’nın nihai kararının bildirilmesinden sonra.
Meta’nın GDPR kapsamında yaptırıma tabi tutulabileceği geçerli yasal azami ceza, küresel yıllık cirosunun %4’üdür. Ve ondan beri geçen yıl tam yıl cirosu 116.61 milyar dolardı, burada para cezasına çarptırılabilecek maksimum miktar 4 milyar doların üzerinde olurdu. Bu nedenle İrlandalı düzenleyici, Meta’ya verebileceğinden çok daha az para cezası vermeyi seçti.
Bugün kamuoyuna yaptığı diğer açıklamalarda Schrems, düzenleyiciyi temelde GDPR’nin uygulanmasını engellemek için çalışmakla suçlayarak DPC’nin yaklaşımına bir kez daha vurdu. “İrlandalılara karşı on yıl süren davamız sürdü. DPC bu sonuca ulaşmak için aleyhine üç prosedür getirmek zorunda kaldık. DPC ve milyonlarca prosedür maliyetini riske attı. İrlandalı düzenleyici bu karardan kaçınmak için her şeyi yaptı, ancak Avrupa Mahkemeleri ve kurumları tarafından sürekli olarak bozuldu. Rekor para cezasının, bu para cezasının verilmemesi için her şeyi yapan AB Üye Devleti İrlanda’ya gidecek olması biraz saçma” dedi.
Peki Avrupa’da Facebook için bundan sonra ne olacak?
Hemen hiçbir şey. Karar, veri akışlarını askıya alması gerekmeden önce yaklaşık altı aylık bir geçiş süresi sağlıyor, böylece hizmet bu arada çalışmaya devam edecek.
Meta ayrıca temyize gideceğini ve argümanlarını mahkemeye geri götürürken uygulamayı durdurmak istiyor gibi göründüğünü söyledi.
Schrems’in sahip olduğu daha önce önerilen Avrupalı kullanıcılara, verilerinin işlenmek üzere ABD’ye aktarılmasını gerektirmeyen bir hizmet sunabilmek için şirketin – nihayetinde – Facebook’un altyapısını birleştirmesi gerekecek.
Ama içinde Yakın vadede Meta, AB-ABD veri akışlarını askıya almak zorunda kalmaktan kurtulabilecek gibi görünüyor çünkü bugünkü karardaki geçiş dönemi, kendisine yukarıda bahsedilen transatlantik veri transferi anlaşmasının kabul edilmesi için yeterli zamanı kazandıracaktır.
Daha önceki raporlar, Avrupa Komisyonu’nun yeni AB-ABD veri anlaşmasını Temmuz ayında kabul edebileceğini öne sürse de, sürece birden fazla paydaşın dahil olduğunu söylediği için bunun için bir tarih vermeyi reddetti.
Böyle bir zaman çizelgesi, Meta’nın Facebook’un AB’deki hizmetini askıya almak zorunda kalmamak için yeni bir kaçış kapısı alması anlamına gelir; olduğu sürece bu üst düzey mekanizmaya güvenmeye devam edebilir.
Bu eziyetli şikayetin bir sonraki bölümü böyle gelişirse, bu, Facebook’un bu noktada neredeyse on yıl öncesine dayanan yasa dışı veri aktarımlarına karşı bir şikayetin bir kez daha rüzgarda bükülmeye bırakılacağı anlamına gelir – bunun gerçekten olup olmadığına dair soruları gündeme getirir. Avrupalıların GDPR’de belirtilen yasal hakları kullanması mümkün mü? (Ve gerçekten de, safları iyi maaşlı avukatlar ve lobiciler, hiç düzenlenebilir mi?)
Aynı zamanda, yeni transatlantik veri transferi anlaşmasına yasal itirazlar bekleniyor ve Schrems, AB-ABD paktına yasal incelemeden sağ çıkması için küçük bir şans veriyor.
Bu nedenle, iş modelleri havuz üzerinden işlenmek üzere veri ihraç etmeye dayanan Meta ve diğer ABD devleri, yakında kendilerini bu kıyamet döngüsünün içinde bulabilirler.
Schrems, “Meta ileriye dönük transferler için yeni anlaşmaya güvenmeyi planlıyor, ancak bu muhtemelen kalıcı bir çözüm değil” dedi. “Bana göre, yeni anlaşmanın ABAD tarafından öldürülmeme ihtimali yüzde on olabilir. ABD gözetim yasaları sabitlenmedikçe, Meta muhtemelen AB verilerini AB’de tutmak zorunda kalacak.”
Bu hikaye gelişiyor — güncellemeler için yenileyin…