Sanktionsavgift på 1,2 miljarder euro för olaglig tredjelandsöverföring

De uppdaterade standardsavtalsklausulerna som har antagits av EU-kommissionen och de ytterligare skyddsåtgärder som Meta Ireland genomfört har enligt DPC inte varit tillräckligt för att läka de risker som identifierats i Schrems II-målet.

Därefter har en tvist mellan DPC och andra tillsynsmyndigheter inom EU/EES uppstått där frågan om vilka åtgärder som bör åläggas Meta Ireland utöver att Meta Irleland måste upphöra med tredjelandsöverföringen. En minoritet av de berörda tillsynsmyndigheterna ansåg att Meta Ireland även borde sanktioneras för den olagliga behandlingen och att Meta Ireland borde åläggas att vidta åtgärder för att ta itu med de personuppgifter som redan olagligt hade överförts till USA. Eftersom att tillsynsmyndigheterna inte kunde nå samförstånd hänvisade DPC invändningarna till European Data Protection Board (EDPB) för avgörande i enlighet med tvistlösningsmekanismen enligt dataskyddsförordningen.

Därefter blev DPC skyldiga att anta sitt slutliga beslut på grundval av EDPB:s beslut vilket blev följande:

• Meta Ireland ska avbryta all framtida överföring av personuppgifter till USA inom fem månader från den dag då Meta Ireland delgavs DPC:s beslut.
• Meta Ireland ska åläggas administrativa sanktionsavgifter på 1,2 miljarder euro.
• Meta Ireland ska upphöra med den olagliga behandlingen, inklusive lagring, i USA av personuppgifter om EU/EES-användare som överförts i strid med dataskyddsförordningen, inom sex månader efter den dag då Meta Ireland fått del av DPC:s beslut.

Länk till DPC:s pressmeddelande: HÄR

Länk till EDPB:s beslut: HÄR