Рекордный штраф Meta в ЕС
  • Главная
  • Новости
  • Рекордный штраф Meta в ЕС
    • 2 июня 2023

    Рекордный штраф Meta в ЕС

    22 мая 2023 года ирландский регулятор – Комиссия по защите данных (Data Protection Commission, DPC) опубликовал пресс-релиз о завершении расследовании в отношении компании Meta Platforms Ireland Limited (дочерняя компания владельца соцсетей Facebook и Instagram – Meta Platforms, Inc., запрещённой в России).

    Расследование было инициировано в августе 2020 года.

    По результатам расследования регулятор 12 мая 2023 года принял окончательное решение, в котором зафиксировал, что ирландская «дочка» Meta нарушила статью 46 (1) Общего регламента по защите данных (General Data Protection Regulation, GDPR).

    Указанная норма гласит, что «При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.».

    Meta Ireland передавала данные европейцев в США своей материнской компании на основании Стандартных договорных положений (Standard Contractual Clauses, SCC) – одобренных Европейской комиссией правил, призванных обеспечить надлежащие гарантии защиты персональных данных.

    Однако, DPC посчитала, что этого недостаточно для обеспечения уровня надлежащей защиты прав европейских граждан. Регулятор отразил в своём решении следующие выводы:

    1) законодательство США не обеспечивает уровень защиты данных, эквивалентный уровню защиты данных в ЕС;

    2) ни SCC 2010 года, ни SCC 2021 года не могут компенсировать недостаточную защиту, предусмотренную законодательством США;

    3) в Meta Ireland отсутствуют дополнительные меры, которые компенсировали бы недостаточную защиту, предусмотренную законодательством США;

    4) Meta Ireland не вправе ссылаться на отступления, предусмотренные в статье 49(1) GDPR, или любые другие при осуществлении передачи данных.

    В части законодательства США регулятора беспокоят следующие факторы:

    1) согласно законодательству США, ряд правовых оснований допускает крупномасштабный сбор и обработку в целях внешней разведки, включая борьбу с терроризмом, персональных данных, которые были переданы в США или обрабатываются американскими компаниями;

    2) существуют различия в мерах предосторожности, применимых к субъектам данных ЕС, по сравнению с субъектами данных США, включая процедуры таргетирования и минимизации, утвержденные решением Суда по надзору за внешней разведкой (Foreign Intelligence Surveillance Court, «FISC») направлены на сокращение сбора, хранения и распространения персональных данных лиц из США или в отношении них и не применяются к персональным данным физических лиц в ЕС, даже если они не имеют отношения к терроризму, преступлениям или любой другой незаконной или опасной деятельности, в то время как субъекты из США пользуются конституционными мерами защиты, такими как Четвертая поправка к Конституции США, которые не распространяются на граждан ЕС, не проживающих в США;

    3) в рамках программ наблюдения в США различные уровни защиты данных применяются к различным типам данных (метаданные США в сравнении с данными контента) и различным этапам обработки данных (первоначальное получение в сравнении с дальнейшей обработкой/анализом);

    4) отсутствует ясность в отношении использования других правовых основ и применимых ограничительных условий, особенно в отношении Исполнительного указа президента США № 12333 (Executive Order 12333, EO 12333»);

    5) у субъектов данных из ЕС или США не было никаких возможностей получить информацию о том, собираются ли их персональные данные или обрабатываются в дальнейшем, и никаких возможностей для получения доступа, исправление или удаление данных.

    При этом в решении отмечается, что Meta Platforms, Inc. соблюдает законодательство США, и это включает в себя исполнение запросов данных, направляемых уполномоченными органами США, когда такие запросы направляются в соответствии с американским законодательством.

    В результате DPC в отношении Meta Ireland постановила следующее:

    1) в соответствии со статьей 58(2)(j) GDPR вынесено требование приостановить передачу данных в течение 5 месяцев («the Suspension Order»);

    2) в соответствии со статьей 58(2)(d) GDPR вынесено требование прекратить незаконную обработку данных, включая хранение в США персональных данных пользователей ЕС, переданных в нарушение GDPR, в течение 6 месяцев;

    3) в соответствии со статьей 58(2)(i) GDPR назначен административный штраф в размере в размере 1,2 миллиарда евро (~103,5 миллиарда рублей, ~1,3 долларов США).

    Указанный размер штрафа на текущий момент является рекордным для ЕС. Следует отметить, что штраф носит оборотный характер и рассчитывался на основании выручки компании.

    По данным СМИ, Meta планирует обжаловать вынесенное решение. Однако, что в данном случае выиграть апелляцию у компании крайне мала, поскольку Суд ЕС не один раз принимал решения об отсутствии законных оснований для передачи данных между ЕС и США.

    Назад к новостям
    Другие новости
    Ответим на вопросы

    По подаче заявок на участие в конкурсах

    В чат-боте в Telegram По электронной почте
    Обратная связь
    ФИО
    Почта
    Ваш вопрос
    Файл формата: docx, pdf, jpeg, png. Размер: не более 5 MB
    Для корректной работы нашего сайта мы собираем файлы «cookie». Мы также можем сохранить другие данные, если Вы сами их введете. Например, адрес электронной почты, если Вы подпишетесь на наши новости. Все данные мы храним в России. Подробнее про работу с данными можно посмотреть здесь.
    Пожалуйста, обновите ваш браузер для корректного отображения сайта