Irlandzka spółka Meta Platforms Ireland Limited (Meta IE), czyli przedsiębiorca będący właścicielem platformy społecznościowej Facebook, został w wiążącej decyzji EROD z 13 kwietnia 2023 r. ukarany najwyższą w historii administracyjną karę pieniężną za niedostosowanie podejmowanych czynności przetwarzania danych do regulacji RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).).

Wymierzona kara zamyka się w kwocie 1,2 mld euro. Jednocześnie obok kary pieniężnej wydany został także zakaz dalszego przekazywania danych osobowych użytkowników na serwery w Stanach Zjednoczonych.

Wymierzona kara jest pokłosiem wcześniejszego postępowania prowadzonego przez irlandzki urząd ochrony danych osobowych, na podstawie którego w oparciu o regulację art. 65 ust. 1a RODO. Artykuł 65 RODO stanowi podstawę dla działania EROD (Europejska Rada Ochrony Danych Osobowych) gwarantującego jednolitość stosowania regulacji. Jak explicite wskazuje regulacja: „Wiążąca decyzja (EROD) dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia.”. W sprawie przetwarzania danych przez Meta IE wskazano, iż doszło do niezgodnego z prawem przekazywania danych osobowych do państw trzecich, poprzez niedostosowanie stosowanych przez Meta IE metod do regulacji rozdziału V RODO.

W tym miejscu należy pokrótce wskazać, iż zgodnie z regulacjami rozdziału V RODO, podmiot przekazujący dane powinien zapewnić im odpowiedni poziom ochrony. Tymczasem Facebook na podstawie standardowych klauzul umownych nie kompatybilnych z regulacjami RODO przetwarzał oraz przekazywał dane osobowe europejskich użytkowników do Stanów Zjednoczonych, gdzie były one przechowywane na serwerach Facebooka. Zgodnie z brzmieniem art. 46 ust. 1 RODO Meta powinna zapewnić odpowiednie środki zabezpieczenia danych, a jednocześnie zapewnić regulacje umożliwiające egzekwowanie praw osób, których dane dotyczą, i skuteczne środki ochrony prawnej tych danych.

Wymierzając administracyjna karę pieniężną EROD kierowało się treścią art. 83 ust. 2 RODO. Zgodnie z wymienioną normą Rada wymierzając karę bierze pod uwagę w szczególności charakter, wagę i czas trwania naruszenia, zakresu lub celu danego przetwarzania oraz liczbę poszkodowanych osób. Dodatkowymi faktorami wpływającymi na wysokość wymierzanej kary są min. umyślność działania oraz stopień odpowiedzialności jaki można przypisać administratorowi.

W decyzji organ wskazał na 5 głównych przyczyn wymierzania kary pieniężnej w tej wysokości. Pierwszą przesłanką jest szczególnie duży zakres przetwarzania danych i bardzo duża liczba osób, których dane dotyczą, a także długi czas trwania naruszenia, które w czasie postępowania ciągle trwało. Wskazano również, iż Meta IE dopuściła się „naruszenia art. 46 ust. 1 z co najmniej najwyższym stopniem zaniedbania”, oraz jest w pełni odpowiedzialna za powstałe naruszenie. Istotny jest również zakres danych jakich samo naruszenie dotyczyło. Przekazywane przez Meta IE dane obejmowały wiele kategorii danych osobowych, w tym także szczególne kategorii danych osobowych dotyczące min. pochodzenia rasowego, poglądów politycznych, stanu zdrowia, przekonań religijnych i światopoglądowych ( art. 9 RODO). Sam mechanizm działania platformy również był dla EROD przesłanką dla zaostrzenia kary, w myśl art. 83 ust 2 lit. k RODO. Przyjęta przez Meta IE konstrukcja usługi Facebook uniemożliwia jej świadczenie w UE/EOG bez międzynarodowych transferów danych dokonywanych przez Meta IE, które zostały uznane za naruszające RODO. Powyższa konstatacja doprowadziła organ do wniosku, że znaczna część zysków Meta pochodzących ze świadczenia usługi na terenie UE wynika z naruszenia RODO.