To może być koniec Facebooka w Unii Europejskiej. Irlandzka Komisja Ochrony Danych dała nakaz wstrzymania transferu danych dotyczących europejskich użytkowników ze Starego Kontynentu do USA.
Napięcia na linii UE i Facebook są bardzo duże. Obiektem sporu jest decyzja Irlandzkiej Komisji Ochrony Danych, w myśl której jeden z największych portali społecznościowych na świecie dostał nakaz wstrzymania transferu danych dotyczących europejskich użytkowników do USA.
Według uzasadnień EU dane osób korzystających z Facebooka, które później trafiają zza ocean, mogą nie być należycie chronione. Tymczasem RODO zakłada, że muszą być chronione na takiej samej zasadzie, jak w całej Wspólnocie.
Co to oznacza dla Facebooka, z którego w EU korzysta 410 mln Europejczyków, a w samej Polsce ok. 20 mln użytkowników? Warto również wspomnieć, że prawdopodobnie serwis wygenerował 208 miliardów euro sprzedaży dla europejskich firm, które korzystają z platformy.
Sam Facebook nie grozi wycofaniem się z Europy, lecz decyzje EU sprowadzają wszystko do tego, by amerykański portalu zaprzestał działalności w Europie – informuje portal Vice.
– To budzi obawy, że (Facebook) nie jest traktowany jednakowo. Jeśli tylko (Facebook) stanie się przedmiotem dochodzenia i zostanie zawieszony transfer danych do USA, mogłoby to spowodować poważne zakłócenia konkurencji – opowiada Yvonne Cunnane, która jest szefem ochrony danych i wspólnikiem generalnym Facebook Ireland.
Sprawę od strony prawnej w rozmowie z INNPoland.pl wytłumaczył dr Tomasz Lewandowski, adiunkt na Uniwersytecie SWPS, adwokat w SMM Legal Maciak Mataczyński Adwokaci sp.k.
– TSUE w wyroku w sprawie Schrems II zakwestionował decyzję Komisji Europejskiej legalizującą transfer danych osobowych z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. W związku z czym odpadła nam jedna z podstaw prawnych transferu danych osobowych poza EOG jaką była decyzja Komisji Europejskiej w sprawie Tarczy Prywatności – wyjaśnia.
– Dlatego Facebook musi znaleźć inną podstawę prawną w celu kontynuowania dokonywania transferu danych do USA. Tą inną podstawą, którą posiłkuje się Facebook są tzw. standardowe klauzule umowne. To nic innego jak stworzona przez Komisję Europejską - umowa transferu danych osobowych. Klauzul nie wolno modyfikować poza załącznikiem, gdzie określa się cel i zakres transferowanych danych. Natomiast wszystkie środki ochronne, które są wpisane w umowie, prawa i obowiązki jej stron są ustalone sztywno przez Komisję Europejską – odpowiada dr Tomasz Lewandowski.
Potencjalne niebezpieczeństwo
Obecnie odnosząc się do klauzuli umownej, w opisywanym przypadku Facebook Ireland musi zawrzeć umowę z Facebookiem w USA. Dodatkowo podmioty są zobowiązane do dbania oraz chronienia naszych danych, a ewentualne nieprawidłowości będą zgłaszane i naprawiane przez podmiot amerykański, jak tłumaczy Lewandowski.
– W orzeczeniu Schrems II uznano, że Tarcza Prywatności jest nieważna ze względu na to, że w Stanach Zjednoczonych obowiązują przepisy, które mogą ograniczać w istotny sposób ochronę prywatności osób, których dane są transferowane np. przepisy upoważniające agencje wywiadowcze w USA do swobodnego dostępu do danych z Facebooka – zauważa prawnik.
– Nie zakazano wprost jednak stosowania klauzul umownych. Niemniej Europejska Rada Ochrony Danych stwierdziła, że mimo wszystko cały czas istnieje ryzyko, iż transferowane do USA dane są zagrożone. Według EROD administratorzy danych powinni rozważyć dodatkowe zabezpieczenia transferu obok standardowych klauzul umownych – dodaje dr Lewandowski.
Czemu Irlandia?
Jak się okazuje nie bez powodu internetowi giganci jako lokalizację swoich spółek córek wybrali w UE właśnie Irlandię.
– Przed rozpoczęciem stosowania RODO m.in. Facebook Ireland i Google Ireland, wybrali to państwo na swoje siedziby, ponieważ przed RODO obowiązywał tam łagodny reżim ochrony danych, który nie nakładał na nich jako administratorów danych zbyt wielu obowiązków. RODO, a teraz orzeczenie Schrems II wymuszają na nich jednak większe zaangażowanie w ochronę naszych danych osobowych – podkreśla Lewandowski.
Nasz ekspert zwraca również uwagę na to, że Facebook zawiera klauzulę umowną sam ze sobą (spółka matka ze spółką córką). Inaczej też by wszystko wyglądało, jakby taką umowę Facebook Ireland zawarł np. z Google w USA.
Kara i drugi Facebook
Obecnie, w ostateczności Facebooka mogą czekać kary finansowe, jeśli się nie dostosuje do zaleceń Irlandzkiej Komisji Ochrony Danych.
– Wskazanie przez irlandzki organ Facebookowi, że ma zaprzestać transferu danych osobowych do USA, faktycznie może prowadzić do powstania dwóch Facebooków - jeden w UE bardziej chroniony i Facebook globalny mniej chroniony – zauważa prawnik.
– To jest duże wyzwanie technologiczne. Jeśli Facebook się nie dostosuje dostanie może ryzykować nałożenie administracyjnej kary pieniężnej nawet do 20 mln euro albo 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Należy jednak odróżnić nałożenie kary od jej egzekucji. Ta ostatnia może trwać latami – dodaje dr Lewandowski.