Metalle 1,2 miljardin euron seuraamusmaksu lainvastaisista henkilötietojen siirroista Yhdysvaltoihin Euroopan tietosuojaneuvoston päätöksen seurauksena
Irlannin tietosuojaviranomainen on määrännyt Meta Platforms Ireland Limitedille 1,2 miljardin euron hallinnollisen seuraamusmaksun lainvastaisista henkilötietojen siirroista Yhdysvaltoihin Facebook-palvelussa. Seuraamusmaksu määrättiin Euroopan tietosuojaneuvoston sitovan kiistanratkaisupäätöksen perusteella. Kyseessä on tähän mennessä suurin tietosuoja-asetuksen perusteella määrätty sakko. Lisäksi Meta määrättiin keskeyttämään eurooppalaisten käyttäjien henkilötietojen siirtäminen Yhdysvaltoihin ja saattamaan tiedonsiirrot tietosuoja-asetuksen mukaisiksi.
Irlannin tietosuojaviranomainen selvitti tutkinnassaan henkilötietojen siirtojen lainmukaisuutta Metan Facebook-palvelussa heinäkuusta 2020 lähtien. Selvityksen perusteella Irlanti totesi, että Meta on rikkonut yleistä tietosuoja-asetusta, sillä se on jatkanut tiedonsiirtoa Yhdysvaltoihin EU:n tuomioistuimen heinäkuussa 2020 antaman Schrems II -ratkaisun (C-311/18) jälkeen ilman asianmukaisia suojatoimia.
Päätöksessä katsottiin, että tiedonsiirrot vakiolausekkeiden perusteella ovat olleet tietosuoja-asetuksen vastaisia, sillä Yhdysvaltojen lainsäädännössä ei taata EU:n vaatimuksia vastaavaa tietosuojan tasoa. Myöskään vakiolausekkeita täydentävillä suojatoimilla ei ole ollut mahdollista puuttua riskeihin, joita yksilöiden oikeuksiin ja vapauksiin kohdistuu Yhdysvaltojen lainsäädännön vuoksi. Asian käsittelyyn osallistuneet Euroopan talousalueen tietosuojaviranomaiset, tietosuojavaltuutetun toimisto mukaan lukien, yhtyivät Irlannin näkemyksiin Metan rikkomuksista.
”Euroopan tietosuojaneuvosto totesi, että rikkomus on erittäin vakava, sillä kyseessä on järjestelmällinen, toistuva ja jatkuva tiedonsiirto. Facebookilla on miljoonia käyttäjiä Euroopassa, joten siirrettävien henkilötietojen määrä on valtava. Ennennäkemätön sakko on organisaatioille vahva merkki siitä, että vakavilla rikkomuksilla on kauaskantoisia seurauksia”, tietosuojaneuvoston puheenjohtaja Andrea Jelinek toteaa.
Euroopan tietosuojaneuvoston huhtikuussa antaman sitovan kiistanratkaisupäätöksen seurauksena Irlanti sisällytti lopulliseen päätökseensä seuraamusmaksun ja määräsi Metan saattamaan tiedonsiirrot tietosuoja-asetuksen mukaisiksi kuuden kuukauden kuluessa. Määräyksen mukaan Metan tulee lopettaa eurooppalaisten käyttäjien jo siirrettyjen henkilötietojen säilyttäminen Yhdysvalloissa ja muu tietojen lainvastainen käsittely. Tietosuojaneuvoston sitova päätös tehtiin sen jälkeen, kun Irlannin tietosuojaviranomainen oli siirtänyt asian tietosuojaneuvoston kiistanratkaisumenettelyyn.
Irlanti määräsi Metan myös keskeyttämään kaikki henkilötietojen siirrot EU- ja ETA-alueelta Yhdysvaltoihin viiden kuukauden sisällä päätöksen antamisesta.
Meta on ilmoittanut valittavansa päätöksestä.
Irlannin tietosuojaviranomaisen lopullinen päätös on saatavilla tietosuojaneuvoston verkkosivuilla rekisterissä, joka kokoaa yhteen valvontaviranomaisten yhdenmukaisuusmenettelyssä käsitellyt ratkaisut.
Euroopan tietosuojaneuvoston kiistanratkaisupäätös neuvoston verkkosivuilla (englanniksi)
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: 1.2 billion euro fine for Facebook as a result of EDPB binding decision (22.5.2023)
Lisätietoja kiistanratkaisumenettelystä tietosuojaneuvoston verkkosivuilla: Usein kysyttyä 65 artiklasta (englanniksi)