Avrupa Birliği, kullanıcı verilerini ABD’ye aktardığı için Meta’ya 1,3 milyar dolar para cezası verdi. Bu, 25 Mayıs 2018’de Avrupa Birliği (AB) tarafından Genel Veri Koruma Yönetmeliği’nin (General Data Protection Regulation, GDPR) kabul edilmesinden bu yana en büyük para cezası.
Geçmişte, sosyal medya devi Meta, veri aktarımları için yasal bir dayanak olmaksızın Avrupa’daki kullanıcılara yönelik hizmetlerini engellemekle tehdit etmişti. Şimdi şirket, İrlanda Veri Koruma Komisyonu’nun kararından hayal kırıklığına uğradı ve bunun AB ile ABD arasında veri aktaran çok sayıda şirket için tehlikeli bir emsal teşkil ettiğini söyledi.
Associated Press tarafından yayınlanan bir açıklamada, Meta’nın küresel ilişkiler başkanı Nick Clegg ve Baş Hukuk Sorumlusu Jennifer Newstead, “Avrupa’da Facebook’ta ani bir kesinti yok” dedi. “Bu karar kusurlu, haksız ve AB ile ABD arasında veri aktaran sayısız diğer şirket için tehlikeli bir emsal teşkil ediyor.”
Savaşın kökleri geçmişteydi, tam olarak 2013’te gizlilik aktivisti ve NOYB kurucusu Max Schrems, Edward Snowden’ın ABD tarafından işletilen küresel gözetim programı hakkındaki açıklamalarının ardından Facebook’un verilerini nasıl ele aldığı hakkında bir şikayette bulundu.
13 Aralık 2022 tarihinde Avrupa Komisyonu, AB-ABD Veri Gizliliği Çerçevesi için yeterlilik kararını kabul etme sürecini resmen başlattı.
AB-ABD Gizlilik Kalkanı Çerçevesi, ABD Ticaret Bakanlığı ve Avrupa Komisyonu tarafından, Avrupa Birliği’nden ABD’ye kişisel veri transferi sırasında AB veri koruma gerekliliklerine uyum sağlamak için her iki tarafın şirketlerine bir mekanizma sağlamak amacıyla tasarlandı.
Açıkça, kullanıcı verilerini ABD’ye göndermeyi durdurmak için Meta’nın verilerini Avrupa tesislerine yeniden dağıtmak gibi büyük yatırımlar yapması gerekebilir. Ne yazık ki, şu anda dünya çapında 25 veri merkezinden sadece 3’ü AB’de bulunmaktadır (21’i ABD’de ve biri Singapur’da).
Avrupa Birliği ayrıca Meta’yı, DPC’nin duyurusundan altı ay içinde AB’den ABD’ye transfer edilen herhangi bir veriyi tutmayı durdurmaya da zorluyor.
“EDPB 13 Nisan 2023 tarihinde kararını aldı.” Duyurusu DPC tarafından yayınlandı. “EDPB’nin kararına dayanarak nihai kararını kabul etme yükümlülüğüne uygun olarak, DPC’nin 12 Mayıs 2023 tarihli kararı DPC tarafından aşağıdaki düzeltici güçlerin kullanımını kaydeder:
- Meta Ireland’a DPC’nin Meta Ireland’a bildirim tarihinden itibaren beş ay içinde kişisel verilerin ABD’ye gelecekteki transferini askıya alma emri (GDPR Madde 58(2)(j) uyarınca yapılmış bir emir);
- 1.2 milyar € tutarında idari para cezası (EDPB’nin ihlal gerçekleştiğini belirlediği için idari para cezasının uygulanması gerektiğine karar vermesini yansıtmaktadır. DPC, uygulanacak para cezasının miktarını EDPB’nin kararında yer alan değerlendirmelere ve belirlemelere atıfta bulunarak belirledi);
- Meta Ireland’ın GDPR Bölüm V’sine uygun olarak işleme faaliyetlerini düzeltmesini gerektiren bir emir (GDPR Madde 58(2)(d) uyarınca yapılmış bir emir), GDPR’ya aykırı olarak transfer edilen AB/EEA kullanıcılarının kişisel verilerinin ABD’de yasadışı işlenmesini, depolanmasını dahil olmak üzere durdurarak, DPC’nin Meta Ireland’a bildirim tarihinden itibaren 6 ay içinde.
