Det irske datatilsyn pålægger Meta Irland en bøde på 1,2 milliarder euro
Den 22. maj 2023 publicerede det irske datatilsyn sin endelige afgørelse i sagen om Meta Irland, som er selskabet bag blandt andet Facebook og Instagram. Meta Irland har været i det irske datatilsyns søgelys, fordi de har overført personoplysninger om Facebook-brugere i EU til USA på baggrund af de såkaldte standardkontrakter.
Et utilstrækkeligt beskyttelsesniveau medførte bøde på 1,2 milliarder euro
Det irske datatilsyn pålægger Meta Irland en bøde på 1,2 milliarder euro, svarende til næsten 9 milliarder danske kroner, for at have overført personoplysninger om Facebook-brugere i EU til USA på baggrund af de såkaldte standardkontrakter (”standard contractual clauses” (SCC)) siden 16. juli 2020.
Tilsynet slår i afgørelsen fast, at Meta Irland ikke har kunnet sikre og dokumentere et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der blev overført af det irske selskab til USA.
Og det er netop kravet, hvis man som EU-virksomhed eller myndighed vil overføre personoplysninger ud af EU til ikke sikre tredjelande ved brug af SCC-reglerne.
Meta Irland får 6 måneder til at rette op og sikre overholdelse af GDPR
Det irske datatilsyn har i samme omgang som udstedelse af bøden meddelt Meta Irland et påbud om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR inden for 6 måneder.
Det kan måske umiddelbart lyde som om, at selskabet får ”lang snor”, men 6 måneder er måske i virkeligheden knap så lang en frist, når det vil medføre, at store dele af Meta Irlands nuværende setup, for så vidt angår dataoverførsler, formentlig skal ændres. Omvendt kan man måske også undre sig over, at tilsynet ikke vælger at udstede et direkte forbud mod overførslerne, men det kan muligvis hænge sammen med de store konsekvenser, som et totalt forbud formentlig ville medføre.
Det forlyder dog, at Meta Irland vil indbringe afgørelsen for domstolene.
Afgørelsen beror på en bindende afgørelse fra Det Europæiske Databeskyttelsesråd
Det irske datatilsyns endelige afgørelse er truffet på baggrund af Det Europæiske Databeskyttelsesråds (EDPB) bindende afgørelse, hvori EDPB instruerede det irske datatilsyn i at ændre sin afgørelse og i stedet udstede en bøde til Meta Irland for at have overtrådt databeskyttelsesreglerne.
Rådet har særligt lagt vægt på, at overtrædelserne er meget alvorlige, og at de har omfattet et stort antal registrerede.
Det var endvidere EDPB, der instruerede det irske tilsyn i at meddele Meta Irland påbud om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR inden for 6 måneder fra det irske datatilsyns afgørelse.
Til dato en af de største bøder inden for GDPR
Afgørelsen indtager en særlig plads, hvad angår bødestørrelsen, da en bøde på 1,2 milliarder euro er en af de største bøder, der er uddelt efter databeskyttelsesforordningen nogensinde.
Afgørelsen viser dermed tydeligt, at bøden skal stå i forhold til den milliardomsætning, som Meta Irland har. Men hvis man sammenholder med Meta Irlands samlede indtjening, virker bøden måske knap så høj, og spørgsmålet er derfor, om bøden konkret i dette tilfælde har den afskrækkende effekt, som netop er et af kriterierne for, hvilken virkning bøderne for overtrædelse af GDPR skal have.
Du bør nøje forholde dig til risici forbundet med tredjelandsoverførsler
Afgørelsen er i sin natur med til endnu engang at understrege, hvor vigtigt det er, at du nøje forholder dig til de risici, der kan være forbundet med, at din organisation overfører personoplysninger til usikre tredjelande, herunder blandt andet USA.
Et utilstrækkeligt overførselsgrundlag kan som i sagen her få store konsekvenser, både økonomisk og forretningsmæssigt.
Glem ikke underdatabehandlerne
Når du indgår databehandleraftaler med en leverandør, så er det ikke kun den virksomhed, du indgår aftalen med, som du skal have for øje, overholder GDPR.
Det er mindst lige så vigtigt, at underleverandørerne til virksomheden også overholder GDPR. Med andre ord skal du tage højde for de underdatabehandlere, som virksomheden eventuelt anvender.
Det er særligt vigtigt at være opmærksom på dette, hvis de er placeret i eller kontrolleret af en enhed uden for EU. Da du ellers uden måske at være bekendt med det, ulovligt overfører eller er i risiko for at overføre personoplysninger til usikre tredjelande.
HjulmandKaptains specialister i databeskyttelse står klar til at hjælpe dig
Har du spørgsmål til håndteringen af tredjelandsoverførsler eller brug for rådgivning vedrørende GDPR generelt, så er du meget velkommen til at kontakte vores specialister i databeskyttelse.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.