Fällningar

Rekordhöga böter för Facebook efter överföring av personuppgifter till USA i strid med GDPR 30 maj 2023

Meta Platforms Ireland Limited (Facebook) har den 12 maj 2023, efter beslut från den irländska tillsynsmyndigheten – Data Protection Commission (DPC) – fått en sanktionsavgift på hela 1,2 miljarder euro efter att ha överfört personuppgifter till USA i strid med GDPR. 

Beslutet har sin grund i ett beslut från april i år, från EDPB (European Data Protection Board), då EDPB instruerade den irländska tillsynsmyndigheten att ålägga Meta att upphöra med överföring av personuppgifter, som tillhör europeiska användare, till USA i strid med GDPR.

I beslutet konstaterar irländska DPC att Meta brutit mot artikel 46.1 i GDPR då man fortsatt att överföra personuppgifter från EU/EES till USA efter att EU-domstolen avkunnat dom i det sk Schrems II-målet (juli 2020). Även om Meta genomfört dessa överföringar grundat på uppdaterade sk standardsavtalsklausuler som antogs av EU-kommissionen 2021, konstaterar DPC att dessa åtgärder inte avhjälpt de risker för de registrerades grundläggande fri- och rättigheter som identifierades av EU-domstolen i Schrems II-målet.

EDPB uttalade redan i april att Metas överträdelse är mycket allvarlig eftersom det gäller överföringar som är systematiska, repetitiva och kontinuerliga. Facebook har miljontals användare i Europa, vilket medför att en enorm mängd personuppgifter har varit föremål för den olagliga överföringen. Genom DPC’s beslut om den rekordhöga sanktionsavgiften sänds också en stark signal till andra organisationer om att allvarliga överträdelser av GDPR kan få långtgående konsekvenser.

Det har under det senaste året meddelats flera tillsynsbeslut som resulterat i höga sanktionsavgifter mot bolag ägda av Meta. Sanktionsavgiften mot Facebook är dock betydligt högre än vad som följt av tidigare beslut.