それはついに起こりました。以前は Facebook として知られていた会社である Meta は、欧州連合のユーザーデータを処理するために米国に輸出することを停止することを要求する正式な停止命令を受けました。
の 欧州データ保護委員会 (EDPB) は本日、Meta に 12 億ユーロ (13 億ドル近く) の罰金が科せられたことを確認しました。これは、同ブロックの一般データ保護規則 (GDPR) に基づく罰金としては記録的な金額となるようです。 (これまでの記録は、2021 年に顧客データを広告ターゲティングに悪用したとして 8 億 8,700 万ドルの罰金を科された Amazon のものです。)
メタの制裁は、人々の情報に対する適切な保護を確保せずに、いわゆる第三国(この場合は米国)への個人データの移転を管理する汎EU規制に定められた条件に違反したことに対するものである。
欧州の判事らは以前、米国の監視プログラムがEUのプライバシー権と矛盾していると認定していた。
本日の決定を発表するプレスリリースの中で、EDPB議長のアンドレア・イェリネク氏は次のように述べた。
EDPB は、Meta IE の侵害は組織的、反復的、継続的な転送に関するものであるため、非常に深刻であると認定しました。 Facebook はヨーロッパに数百万人のユーザーを抱えているため、転送される個人データの量は膨大です。 前例のない罰金は、重大な違反が広範な影響を与えるということを組織に強く示すものである。
この記事の執筆時点では、EDPB の拘束力のある決定の実施に責任を負う機関であるアイルランドデータ保護委員会 (DPC) はコメントを提供していません。
メタはすぐに ブログ投稿 停止命令に対する返答で、控訴することを認めた。 また、この問題を自国のプライバシー慣行ではなく、EUと米国の法律の間の矛盾のせいにしようとしており、国際問題担当社長のニック・クレッグ氏と最高法務責任者のジェニファー・ニューステッド氏は次のように書いている。
私たちはこれらの決定に対して控訴しており、Facebookを毎日使用する何百万人もの人々を含め、これらの命令が引き起こす損害を考慮して、施行期限を一時停止できる裁判所への差し止めを直ちに求めるつもりです。
アドテク大手は4月に投資家に対し、EUのデータフロー停止が実際に実施されれば世界の広告収入の約10%が危険にさらされると警告した。
この決定に先立って、停止の可能性に備えてどのような準備をしているのかと尋ねられたメタの広報担当マシュー・ポラード氏は、「追加のガイダンス」を提供することを拒否した。 代わりに同氏は、この訴訟は「EUと米国の法律の歴史的な対立」に関連していると同社が主張した以前の声明を指摘し、新たな大西洋横断データに取り組んでいるEUと米国の議員らによって解決の過程にあることを示唆したと述べた。転送の手配。 しかし、ポラード氏が言及した再起動された大西洋横断データフレームワークはまだ採用されていない。
また、本日の罰金および業務停止命令はFacebookに限定されているが、EU-米国間のデータ転送に伴う法的不確実性が現在も続いており、影響を受けるのはMetaだけではないことも注目に値する。
アイルランド DPC による決定は、Facebook のアイルランド子会社に対する申し立てに基づいたものである ほぼ10年前、プライバシー活動家のマックス・シュレムス氏は、EUにおけるメタの主導的データ保護規制当局を声高に批判しており、アイルランドのプライバシー規制当局がEUのルールブックの効果的な執行を妨げるために意図的に長く曲がりくねった道を選んでいると非難した。 。
シュレムス氏は、EU-米国間のデータフローの破滅のループを解決する唯一の確実な方法は、米国がイラクサを掌握し、監視慣行を改革することだと主張する。
本日の注文に対する声明文での返答 (彼のプライバシー権を通じて非営利、noyb)、シュレムス氏は次のように述べた。 罰金の最高額が40億を超え、メタ社が10年間にわたり利益を上げるために故意に法律を破ったことを考えると、罰金はさらに高かった可能性がある。 米国の監視法が修正されない限り、メタ社はシステムを根本的に再構築する必要があるだろう。」
アイルランドに地域本社を置く複数の大手ハイテク企業を監督するDPCは、その行動がGDPR施行のボトルネックになっているという批判を常々拒否し、そのプロセスは複雑な国境を越えた事件のデューデリジェンスを実施するために必要なものを反映していると主張している。 また、決定の遅れに対する責任を、決定草案に異議を唱えた他の監督当局に転嫁しようとすることも多い。
しかし、注目に値するのは、ビッグテックに対する DPC 決定草案への異議申し立てが、GDPR に組み込まれた協力メカニズムを介してより強力な執行を課す結果となったことです。 に対する以前の決定 メタ と ツイッター。 これは、アイルランドの規制当局が日常的に 下-最も強力なデジタル プラットフォーム上で GDPR を施行することは、施行プロセスを長引かせるため、規制の効率的な機能にさらなる問題を引き起こす方法で行われます。 (たとえば、Facebook のデータ フロー事件では、DPC の決定草案に対して異議が提起されました。 最後の8月 つまり、その草案から最終決定と停止命令が出るまでに約 9 か月かかったのです。)
上で述べたように、今日の決定により、DPC は、アイルランドの決定草案をめぐる現在進行中の意見の相違を解決するために、先月 EDPB によって下された拘束力のある決定も実際に実施している。今日メタに命令されている内容の多くは、メタからのものではなく、ダブリンですが、同ブロックのプライバシー規制当局の監督機関からのものです。
これには明らかに金銭的罰金の存在が含まれているようだ。理事会は DPC に罰金を含めるよう草案を修正するよう指示したと指摘しているため、次のように書いている。
違反の重大性を考慮して、EDPB は、罰金の計算の開始点は、適用される法的上限の 20% から 100% の間であるべきであると判断しました。 EDPBはまた、IE DPAに対して、GDPRに違反して転送された欧州ユーザーの個人データの米国内での保管を含む違法な処理を6か月以内に停止することで、処理業務をGDPR第5章に準拠させるようMeta IEに命令するよう指示した。 IE SAの最終決定通知後。
GDPR に基づいて Meta に課せられる法的罰金の上限は、全世界の年間売上高の 4% です。 そしてそれ以来、 昨年の通年売上高 1,166億1,000万ドルだったが、ここで罰金が課せられる最大額は40億ドルを超えていただろう。 そのため、アイルランドの規制当局は大幅に削減することを選択した。
本日のさらなる公の場での発言の中で、シュレムス氏は再びDPCのアプローチを非難し、規制当局が本質的にGDPRの施行を阻止するために活動していると非難した。
「アイルランド人に対する訴訟には10年かかった」 DPC この結果に至るには。 私たちは、この問題に対して 3 つの手続きをとらなければなりませんでした。 DPC そして何百万もの手続き費用がかかるリスクがありました。 アイルランドの規制当局はこの決定を回避するためにあらゆる手を尽くしてきたが、欧州の裁判所や機関によって一貫して覆されてきた。 この記録的な罰金がアイルランド、つまりこの罰金が課されないように全力を尽くしたEU加盟国に支払われるというのは、ある意味不合理だ」と同氏は述べた。
では、ヨーロッパにおける Facebook の今後はどうなるでしょうか?
すぐには何もありません。 この決定により、データ フローを一時停止するまでの移行期間 (6 か月) が設けられており、その間サービスは引き続き機能します。
メタ社はまた、控訴する予定であると述べており、主張を法廷に持ち帰る間、履行の延期を求めているようだ。
シュレムスは 以前に提案された 同社は、最終的には、処理のためにデータを米国にエクスポートする必要のないサービスをヨーロッパのユーザーに提供できるようにするために、Facebook のインフラストラクチャを統合する必要がある。 短期的には、移行期間によって前述の大西洋横断データ転送協定が採択されるまでの十分な時間を稼ぐことができるため、メタはEU-米国間のデータフローを一時停止する必要を回避できる可能性が高いと思われる。
これまでの報道では、欧州委員会が新たなEU-米国データ協定を7月に採択する可能性があると示唆されていたが、このプロセスには複数の利害関係者が関与しているとして欧州委員会はその日程については明らかにしなかった。
このようなスケジュールは、Meta が EU 内での Facebook のサービス停止を回避するための新たな脱出ハッチを手に入れることを意味する。 そして、それが存続する限り、この高レベルのメカニズムに依存し続けることができます。 そしてもしそうなった場合、現時点でほぼ10年前に遡るFacebookの違法データ転送に対する告訴は再び風に吹かれることになり、ヨーロッパ人がGDPRに定められた法的権利を行使することが本当に可能なのかという疑問が生じることになる。 ? (そして実際、その階級には高給取りの弁護士や弁護士が大勢いる、潤沢な資金を持つハイテク大手であっても、 ロビイスト、そもそも規制できるのか?)
同時に、新しい大西洋横断データ転送協定に対する法的異議申し立てが予想されており、シュレムス氏は協定がCJEUによる法的審査を乗り切るわずかな可能性を与えている。
そのため、池を越えて処理するデータを輸出することにビジネスモデルが依存しているメタやその他の米国の大手企業は、すぐに再び法的束縛に陥る可能性がある。
「メタは今後の移籍に関して新契約に依存する予定だが、これは恒久的な解決策ではない可能性が高い」とシュレムス氏は示唆した。 「私の見解では、新しい協定がCJEUによって抹殺されない可能性はおそらく10パーセントある。 米国の監視法が修正されない限り、メタ社はおそらく EU のデータを EU 内に保管しなければならないでしょう。」
このストーリーは発展中です – 最新情報を更新してください…