Rekordní pokuta 1,2 mld. eur pro společnost META IE
Evropský sbor pro ochranu osobních údajů rozhodl o udělení pokuty výši 1,2 miliardy eur společnosti META IE. Sbor o tom dnes (22/5/2023) informoval ve své tiskové zprávě. Pokuta byla udělena na základě závazného rozhodnutí č. 1/2023 o sporu předloženém irským dozorovým úřadem ve vztahu k předávání údajů společností Meta Platforms Ireland Limited v rámci její služby Facebook (podle čl. č. 65 GDPR).
Pokuta 1,2 miliardy eur byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro ochranu údajů (IE DPA). Tato pokuta, která je vůbec největší pokutou GDPR, byla uložena za předávání osobních údajů společnosti Meta do Spojených států amerických na základě standardních smluvních doložek (SCCs - Standard Contractual Clauses) ze 16. července 2020. Zároveň bylo společnosti Meta nařízeno uvést své přenosy dat do souladu s GDPR.
Předsedkyně EDPB Andrea Jelinek, k rozhodnutí uvedla: "Evropský sbor pro ochranu osobních údajů zjistil, že porušení obecného nařízení společností Meta IE je velmi závažné, protože se týká převodů, které jsou systematické, opakující se a nepřetržité. Facebook má v Evropě miliony uživatelů, takže objem přenesených osobních údajů je masivní. Bezprecedentní pokuta je tak jasným signálem pro organizace, že závažná porušení mají dalekosáhlé důsledky.“
EDPB ve svém závazném rozhodnutí ze dne 13. dubna 2023 vydal pokyn irskému dozorovému úřadu, aby změnil svůj návrh rozhodnutí a uložil společnosti Meta IE pokutu. Vzhledem k závažnosti porušení EDPB zjistil, že výchozí bod pro výpočet pokuty by měl být mezi 20 % a 100 % použitelného maxima (podle GDPR). Sbor také nařídil irskému dozorovému úřadu, aby společnosti Meta IE nařídil uvést zpracovatelské operace do souladu s obecným nařízením GDPR tím, že do 6 měsíců ukončí nezákonné zpracování osobních údajů evropských uživatelů, včetně uchovávání těchto údajů ve Spojených státech amerických a předávaných v rozporu s GDPR i po oznámení konečného rozhodnutí irského dozorového úřadu (IE DPA).
Konečné rozhodnutí IE DPA zahrnuje právní posouzení vyjádřené Sborem (EDPB) v jeho závazném rozhodnutí přijatém na základě čl. 65 odst. 1 písm. a) GDPR poté, co IE DPA jako vedoucí dozorový orgán (Lead Supervisory Authority) zahájil postup řešení sporů ohledně námitek vznesených několika dotčenými dozorovými úřady (CSAs - Concerned Supervisory Authorities). Ty mimo jiné podaly námitky s cílem zahrnout správní pokutu a/nebo dodatečný příkaz k uvedení zpracování v soulad*.
Konečné rozhodnutí přijaté IE DPA je k dispozici v Rejstříku rozhodnutí přijatých orgány dohledu a soudy o otázkách řešených v rámci mechanismu konzistentnosti.
Redakční poznámka:
*EDPB Závazná rozhodnutí řeší pouze neshody ohledně návrhu rozhodnutí, které jsou uvedeny CSAs v relevantních a odůvodněných námitkách. Závazné rozhodnutí EDPB nezmiňuje příkaz k pozastavení, protože k tomuto aspektu návrhu rozhodnutí IE DPA nebyly vzneseny žádné námitky; všechny CSAs se už dohodly na uložení příkazu k pozastavení.
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions...