Az ír adatvédelmi bizottság határozata kapcsán a sajtóban olyan hírek jelentek meg, hogy az EU-USA adattovábbítási bizonytalanság miatt a Meta elhagyná Európát. Ezt a cég többször is cáfolta, de azt nem tagadja: ha nem lesz a régi rendszerre alternatíva, nem tud majd Európában akadálymentesen működni. Elemzésünk.
Az ír adatvédelmi bizottság még 2018. június 7. és 2018. december 4. közötti hat hónapos időszakban tizenkét adatvédelmi incidens miatt indított vizsgálatot. Ennek eredményeképpen a Metára 17 millió eurós közigazgatási bírságot szabtak ki a GDPR megsértése miatt márciusban. Ezt követi a DPC július 7-i rendelete, amely azzal fenyeget, hogy megakadályozza az európai uniós Facebook és Instagram felhasználók adatainak Egyesült Államokba történő továbbítását. A rendelet egy bírósági határozatból ered, amely kimondta, hogy a Facebook és az Instagram európai felhasználóinak adatait nem lehet átvinni az Egyesült Államokba, mivel a szolgáltatások az amerikai törvények hatálya alá tartoznak, amelyek a felügyeleti szervek számára hozzáférést biztosítanak a nemzetközi felhasználók bizonyos adataihoz.
A valóság azonban az, hogy a Meta a globális szolgáltatásaink működtetése érdekében az EU és az USA közötti adatátvitelre támaszkodik. Nincsenek ezzel egyedül. Legalább 70 másik vállalat a legkülönbözőbb iparágakból, köztük tíz európai vállalkozás is felvetette az adattovábbítással kapcsolatos kockázatokat a bevételi jelentéseiben. A DPC vezetője, Helen Dixon februárban azt mondta a Reutersnek, hogy a Meta adatforgalmának leállítása nem érintene azonnal más nagy technológiai vállalatokat, de potenciálisan “több százezer szervezetet” kellene megvizsgálni.
A Meta azért került a vita középpontjába, mert egy olyan per tárgya volt, amely az Európai Unió legfelsőbb bíróságának, az Európai Bíróságnak 2020-as döntéséhez vezetett, amely érvénytelenített egy fontos adatmegosztási megállapodást az Európai Unió és az Egyesült Államok között. A bíróság szerint a Privacy Shield néven ismert megállapodás jogellenes volt, mivel nem védi a magánéletet az amerikai kémkedéssel szemben. Döntésében megnehezítette egy másik jogi eszköz, a Meta és számos más amerikai cég által az Egyesült Államokba történő személyes adatok továbbítására használt szabványos szerződéses záradékok (SCC) használatát is. A döntés azt jelenti, hogy a Facebook is kénytelen lesz felhagyni az SCC-k alkalmazásával.
“Ha nem fogadnak el egy új transzatlanti adattovábbítási keretrendszert, és nem tudunk továbbra is az SCC-kre támaszkodni, vagy az Európából az Egyesült Államokba történő adattovábbítás más alternatív módjaira támaszkodni, valószínűleg nem leszünk képesek a legjelentősebb termékeink és szolgáltatásaink közül többet, köztük a Facebookot és az Instagramot, Európában kínálni” – mondta a Meta idén márciusban az amerikai értékpapír- és tőzsdefelügyelethez benyújtott bejelentésében.
Írország felelős a Meta európai adatkezelési gyakorlatának szabályozásáért, mivel a vállalat európai uniós központja Dublinban található. Az Európai Unió más országaiban működő adatvédelmi szabályozóknak egy hónapjuk van arra, hogy kifogást emeljenek Írország rendeletével szemben. A Meta bíróságon is fellebbezhet az ítélet ellen. A csütörtökön benyújtott rendelettervezet csak a Facebookra és az Instagramra vonatkozik, más Meta-szolgáltatásokra, például a WhatsAppra nem, mivel annak más adatkezelője van a csoporton belül.
A DPC szóvivője egy interjúban elmondta, hogy nemcsak az amerikai Meta, hanem a kínai ByteDance platformjára, a TikTok-ra is kiterjesztenék a szigorúbb szabályozást, mert a vizsgálataik szerint a kiskorúak személyes adatait nem megfelelően kezeli, és ugyanúgy feldolgozza és továbbítja Kínába, mint a nagykorú felhasználóktól szerzett adatokat, írja a TechCrunch.
Úgy néz ki nem hagyja el az EU-t
A sajtóban olyan hírek jelentek meg, hogy az EU-USA adattovábbítási mechanizmusokkal kapcsolatos bizonytalanság miatt azzal fenyegetőzik a Meta, hogy elhagyja Európát. Ez az érintett óriáscég szerint nem igaz. Mint minden tőzsdén jegyzett vállalatnak, nekik is törvényi kötelezettségük, hogy a befektetőikkel közöljék a lényeges kockázatokat. A nemzetközi adatátvitel a globális gazdaság alapját képezi, és számos olyan szolgáltatást támogat, amelyek mindennapi életünk alapját képezik. Emellett persze Meta szeretné, ha az internet továbbra is úgy működne, ahogyan azt szerinte tervezték, és nem a nemzeti határok által korlátozva.
Nem valószínűsíthető, hogy elengedné a Meta az európai piacot, hiszen bevételeinek és felhasználóinak meghatározó hányadát innen szerzi. Az európai bevételek 2021-ben mintegy 29 milliárd dollárt tettek ki. A Facebook számára természetesen így is a legfontosabb piac az USA, ahonnan szinte kétszer ennyi bevétel fut be, de a teljes forgalom mintegy 25 százaléka Európából származik. Ehhez jön hozzá, hogy 2021-ben Európában körülbelül 307 millióan használták a Facebookot, és 338-an az Instagramot. Ezek azért nem kis számok, amiket olyan könnyen el tudna engedni a techóriás.
Az EU nem hagyja békén a BigTech cégeket
Nem csak ez a jogi vita érinti a Meta szolgáltatásait az Európai Unióban. A digitális szolgáltatásokról szóló törvényről már korábban írtunk bővebben, amely 2023 elején lép hatályba. Az új szabályok az EU szerint versenyt korlátozó nagy tech vállalatok számára kötelezettségeket, teendőket és tilalmakat állapítanak meg, amelyeket a mindennapi működésük során be kell tartaniuk.
A digitális piacokról szóló törvény célja, hogy fellépjen az alapvető platformszolgáltatásokat nyújtó, jelentős gazdasági erővel rendelkező, kapuőrként működő nagy szolgáltatók tisztességtelen gyakorlatával szemben, és hogy kezelje a digitális ágazatban a piaci verseny hiányát, de mellette a kapuőröknek minden lehetőségük megmaradjon az innovációra.
Ha egy kapuőr viszont a jövőben nem tartja be a szabályokat, a Bizottság az előző pénzügyi év teljes világméretű forgalmának 10%-áig terjedő bírságot szabhat ki, ismételt jogsértés esetén pedig 20%-os bírságot. Rendszeres jogsértés esetén a Bizottság bizonyos időre eltilthatja őket más vállalatok felvásárlásától. A Facebook már hozzá van szokva a büntetésekhez, de így egyre kevésbé lesz majd motivált a kontinensen fenntartani a szolgáltatásait vagy esetleg fejleszteni azokat.
Már nyár végén életbe léphet?
Ha négy hét elteltével, azaz augusztus elején a DPC határozattervezete ellen nem érkezik kifogás az érintett uniós adatvédelmi hatóságokhoz, a határozat kötelező érvényűvé válik. Ez az ügy még mindig az együttműködés szintjén van, és az Európai Adatvédelmi Testület (EDPB) ebben a szakaszban nem érintett. Az EDPB csak azt követően vonható be, hogy a határokon átnyúló ügyet a Testület szintjére emelték, miután a vitarendezési eljárást követően. Hacsak nem bonyolódik a helyzet, a határozattervezeteket általában nem vitatják meg az EDPB szintjén, és nem is fogadnak el határozatokat.