Search
Close this search box.

Irland: Meta bötfälls med 1,2 miljarder euro för olaglig överföring av personuppgifter till USA

Data Protection Commission (DPC) har bötfällt Meta Platforms Ireland Limited med 1,2 miljarder euro för överträdelser av dataskyddsförordningen (GDPR).

Av DPC:s pressmeddelande framgår att DPC avslutat sin granskning av Meta Ireland, där myndigheten undersökt på vilken grund Meta Ireland överför personuppgifter från EU/EES till USA i samband med tillhandahållandet av företagets Facebook-tjänst.

DPC fattade sitt slutliga beslut i denna granskning den 12 maj 2023. I beslutet konstateras att Meta Ireland brutit mot artikel 46.1 GDPR när företaget fortsatt att överföra personuppgifter från EU/EES till USA efter det att EU-domstolens dom i Schrems II-målet avkunnats. Även om Meta Ireland genomfört dessa överföringar på grundval av de uppdaterade standardavtalsklausulerna som antogs av EU-kommissionen 2021 i samband med ytterligare kompletterande åtgärder som Meta Ireland genomfört, konstaterar DPC att dessa arrangemang inte avhjälper de risker för de registrerades grundläggande rättigheter och friheter som identifierats av EU-domstolen i Schrems II-målet.

Granskningen inleddes ursprungligen i augusti 2020 och sköts därefter upp genom ett beslut av High Court of Ireland, i väntan på att en rad rättsliga förfaranden ska avgöras, till den 20 maj 2021. Efter en omfattande utredning utarbetade DPC ett utkast till beslut daterat den 6 juli 2022. I beslutet konstaterades bland annat följande:

  1. de aktuella överföringarna av personuppgifter genomfördes i strid med artikel 46.1 GDPR, och
  2. under dessa omständigheter bör överföringarna av personuppgifter avbrytas.

Enligt ett samarbetsförfarande som föreskrivs i artikel 60 GDPR lämnades utkastet till beslut som utarbetats av DPC till dess jämbördiga tillsynsmyndigheter i EU/EES, även kallade berörda tillsynsmyndigheter. Den behandling som granskades i utredningen var av sådan art att alla andra tillsynsmyndigheter i EU/EES engagerades i egenskap av berörda tillsynsmyndigheter i samband med samarbetsförfarandet.

När det gäller frågan om Meta Irlands bristande efterlevnad av dataskyddsförordningen och DPC:s förslag att utfärda ett beslut om att avbryta överföringen av uppgifter, instämde tillsynsmyndigheterna i DPC:s beslut.

Ett litet antal (4) av de 47 tillsynsmyndigheterna gjorde invändningar mot den korrigerande befogenhet som DPC föreslog att utöva genom utkastet till beslut. Inom denna delmängd av tillsynsmyndigheter ansåg alla fyra tillsynsmyndigheter att Meta Ireland borde åläggas administrativa böter för den överträdelse som konstaterades ha ägt rum. Två av dessa myndigheter ansåg också att Meta Ireland borde åläggas att vidta åtgärder för att ta itu med de personuppgifter som redan olagligt hade överförts till USA, dvs. de uppgifter som överförts från juli 2020 till idag.

DPC höll inte med och ansåg att utövandet av ytterligare korrigerande befogenheter, utöver det föreslagna beslutet om tillfälligt upphävande, skulle överskrida omfattningen av de befogenheter som kan beskrivas som “lämpliga, proportionella och nödvändiga” för att hantera överträdelsen av artikel 46.1 GDPR.

Efter ett informellt samråd stod det klart att det inte gick att nå samförstånd. I enlighet med sina skyldigheter enligt dataskyddsförordningen hänvisade DPC invändningarna till Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) för avgörande i enlighet med tvistlösningsmekanismen enligt artikel 65 GDPR.

EDPB antog sitt beslut den 13 april 2023. I enlighet med DPC:s skyldighet att anta sitt slutliga beslut på grundval av EDPB:s beslut, redovisar DPC:s beslut av den 12 maj 2023 myndighetens utövande av följande korrigerande befogenheter:

  • Ett beslut i enlighet med artikel 58.2 (j) GDPR som kräver att Meta Ireland ska avbryta all framtida överföring av personuppgifter till USA inom fem månader från den dag då Meta Ireland delgavs DPC:s beslut.
  • Administrativa sanktionsavgifter på 1,2 miljarder euro vilket återspeglar EDPB:s beslut att administrativa sanktionsavgifter bör åläggas för att sanktionera den överträdelse som konstaterats ha ägt rum.
  • Ett beslut i enlighet med artikel 58.2 (d) GDPR, där Meta Ireland åläggs att se till att dess behandling av personuppgifter överensstämmer med kapitel V i dataskyddsförordningen genom att upphöra med den olagliga behandlingen, inklusive lagring, i USA av personuppgifter om EU/EES-användare som överförts i strid med dataskyddsförordningen, inom sex månader efter den dag då Meta Ireland fått del av DPC:s beslut.

Mer information

Myndighet: Data Protection Commission (DPC)

Land: Irland EU

Lagrum: Art. 46 GDPR, art. 58 GDPR, art. 60 GDPR, art. 65 GDPR

Sanktionsavgift: 1,2 miljarder euro

Mottagare: Meta Platforms Ireland Limited

Beslutsnummer: N/A

Beslutsdatum: 2023-05-22

Källa: Pressmeddelande, EDPB:s beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.