Komisi Perlindungan Data Irlandia (DPC) telah mengumumkan denda $1,3 miliar di Facebook setelah mengklaim bahwa perusahaan tersebut melanggar Pasal 46(1) GDPR (Peraturan Perlindungan Data Umum).
Lebih khusus lagi, ditemukan bahwa Facebook mentransfer data pengguna platform yang berbasis di UE ke Amerika Serikat, di mana peraturan perlindungan data berbeda-beda di setiap negara bagian dan dianggap tidak memadai untuk melindungi hak subjek data UE.
Pasal 46(1) GDPR melarang transfer data pribadi ke negara atau organisasi internasional yang tidak memiliki perlindungan yang menjamin keselamatan dan mekanisme perbaikan hukum.
Sebagai akibat dari pelanggaran tersebut, DPC memberlakukan denda €1,2 miliar ($1,3 miliar) pada perusahaan induk Facebook, Meta Ireland, dan meminta agar semua transfer data yang melanggar GDPR ditangguhkan dalam waktu lima bulan setelah keputusan tersebut.
Selain itu, Meta akan diminta untuk menghentikan pemrosesan atau menyimpan data apa pun yang ditransfer secara ilegal dari UE ke AS dalam waktu enam bulan pengumuman DPA.
Garis waktu
Facebook sebelumnya telah mentransfer data antara negara-negara Eropa dan AS di bawah Perlindungan Privasi UE-AS 2016 GDPR, yang memungkinkan penyimpanan data UE dengan perusahaan AS di daftar Perlindungan Privasi.
Perubahan transfer data internasional berdasarkan GDPR diubah pada Juli 2020 Kasus “Schrems II”.di mana CJEU menilai bahwa transfer data pribadi apa pun pada Keputusan Perlindungan Privasi adalah ilegal dan peraturan kontrol data yang lebih ketat perlu diperkenalkan.
Pada Agustus 2020, DPC Irlandia memulai penyelidikan atas aktivitas transfer data Meta. Pada Juli 2022, ia menerbitkan draf keputusan yang menyoroti bahwa raksasa teknologi itu melanggar Pasal 46(1) GDPR.
Pada 13 April 2023, Dewan Perlindungan Data Eropa (EDPB) mengambil keputusan yang mengikatmenginstruksikan DPA untuk mengenakan denda pada Meta dan memerintahkannya untuk mematuhi GDPR.
Hari ini, DPC Irlandia memberlakukan denda administrasi $1,3 miliar yang mencerminkan keputusan EDPB, menghukum Meta dengan hukuman yang ditentukan pada pedoman EDPB (20% hingga 100% dari maksimum yang berlaku), mengingat keseriusan pelanggaran.
tanggapan Meta
Meta telah menanggapi keputusan tersebut melalui posting blog, mengatakan bahwa transfer data lintas batas yang mulus sangat penting untuk kelangsungan bisnis, dan menemukan bahwa denda administrasi dan perintah pembatasan akan berdampak parah pada layanannya di Eropa.
Perusahaan mengatakan semua transfer data transatlantik dikendalikan oleh Klausul Kontrak Standar (SCC) yang digunakan oleh semua organisasi, yang sebelumnya diterima CJEU sebagai alternatif yang valid untuk memastikan “perlindungan hukum”.
“Seperti ribuan bisnis lainnya, Meta menggunakan SCC dengan keyakinan bahwa mereka mematuhi Peraturan Perlindungan Data Umum (GDPR),” komentar raksasa teknologi itu.
Perusahaan menganggap denda tersebut tidak adil, tidak perlu, dan tidak proporsional, dan berencana untuk mengajukan banding atas keputusan tersebut dan menentang beratnya denda dan perintah yang mendasarinya.
“Ini bukan tentang praktik privasi satu perusahaan – ada konflik hukum mendasar antara aturan pemerintah AS tentang akses ke data dan hak privasi Eropa, yang diharapkan dapat diselesaikan oleh pembuat kebijakan di musim panas,” jelas Meta.
Meta mengkritik keputusan EDPB untuk mengabaikan pengakuan DPC bahwa perusahaan sebelumnya telah bertindak dengan itikad baik dan juga menyoroti waktu yang tidak tepat dari prosedur ini, mengingat yang akan datang Kerangka Privasi Data (DPF) segera dilaksanakan, menyelesaikan konflik hukum yang ada.
