ブログ

Jul 22, 2023

メタ罰金のGDPR

アイルランドのデータ保護委員会は月曜早朝、Meta Platforms Irelandに対し、過去最高となる12億ユーロの罰金を課す待望の執行措置を下した。 罰金、つまり

アイルランドのデータ保護委員会は月曜早朝、Meta Platforms Irelandに対し、過去最高となる12億ユーロの罰金を課す待望の執行措置を下した。

この罰金は、約5年前に制定されたEU一般データ保護規則に基づくこれまでで最高額であり、メタ・アイルランド傘下のフェイスブックに対し、DPCの命令から5カ月以内に今後の米国への個人データの転送を一時停止するよう求める命令も伴った。 DPCがMetaに通知してから6か月以内に、EUおよび欧州経済領域のユーザーの「米国内での個人データの保管を含む違法な処理を停止する」ことにより、その処理業務を遵守させることを決定した。

この訴訟は、EU-米国間のプライバシー シールド協定を無効とする欧州連合司法裁判所の決定を受けてほぼ 3 年前に開始されましたが、アイルランド高等裁判所とデータ保護分野の両方で一連の異議に直面しました。欧州データ保護委員会の傘下にある EU の当局。

この問題は、プライバシー シールドが無効になった後に Meta の Facebook が使用したデータ転送メカニズムに関係しています。 2020年7月16日のCJEU決定以来、同社は2021年に欧州委員会によって更新されたSCCを含む標準契約条項を使用してきました。

一部の関係監督当局がDPCの当初の決定草案に同意しなかったため、4月13日、EDPBは拘束力のある紛争解決決定を完了した。

EDP​​Bのアンドレア・イェリネク委員長はニュースリリースで、「組織的、反復的、継続的な転送に関するものであるため、EDPBは（メタ社の）侵害が非常に深刻であると判断した。Facebookにはヨーロッパに数百万人のユーザーがおり、転送される個人データの量は膨大である」と述べた。前例のない罰金は、重大な違反が広範な影響を与えるということを組織に強く示すものである。」

月曜の調査結果を受けて、メタ・グローバル・アフェアーズのニック・クレッグ社長と最高法務責任者のジェニファー・ニューステッド氏は、罰金は「不当かつ不必要」であり、同社は控訴すると述べた。

「これは一企業のプライバシー慣行に関するものではありません。データへのアクセスに関する米国政府の規則と欧州のプライバシー権との間には根本的な法の抵触があり、政策立案者は今夏にこの問題を解決すると予想されています。」

2022 年 3 月、米国のジョー バイデン大統領と欧州委員会のウルズラ フォン デア ライエン委員長は、新しい EU と米国のデータ プライバシー フレームワークについて政治的合意に達したと発表しました。 新しい取り決めはまだ最終決定されておらず、今月初め、欧州議会は、現在構築されているDPFがCJEUによって再び無効になる可能性を懸念し、欧州委員会に対し米国との交渉を継続するよう求める決議を承認した。

この決定を受けて、過去10年間に2つの大西洋横断データ転送制度に異議を唱え、成功を収めてきたNOYB会長のマックス・シュレムス氏は、「10年間にわたる訴訟の末にこの決定を見てうれしく思う。…米国の監視法がなければ別だ」と述べた。修正されれば、メタはシステムを根本的に再構築する必要があるだろう。」

Hogan Lovells のパートナーである CIPP/E の Eduardo Ustaran 氏は、The Privacy Advisor に対し、「この強制措置により、欧州のデータ保護当局は国際データ転送を規制上の優先事項リストの最上位に置くことになります」と語った。 「しかし、データを干渉から守るために導入された保護ではなく、政府によるデータへのアクセスの可能性に完全に焦点を当てることにより、データ保護法の目的が歪められます。

広範囲にわたる影響?

メタ社は長い間EU規制の注目を集めてきたが、月曜日の決定は他の企業にも影響を与える可能性がある。

「この決定の影響は非常に広範囲に及び、メタをはるかに超えており、すべての企業、大学、臨床試験、そして十分性に関する決定がない場合にSCCに基づいて個人データをEUから米国に転送する者にとって懸念されるものである」 」とFuture of Privacy ForumのGabriela Zanfir-Fortuna氏は語った。