アイルランドデータ保護委員会(DPC)は、FacebookがGDPR(一般データ保護規則)第46条第1項に違反したとして、Facebookに対して13億ドルの罰金を科すと発表した。
より具体的には、FacebookがEUに拠点を置く同プラットフォームユーザーのデータを米国に転送していたことが判明したが、米国ではデータ保護規制が州ごとに異なり、EUのデータ主体の権利を保護するには不十分とみなされてきた。
GDPR の第 46 条 (1) は、安全性と法的救済メカニズムを保証する保護手段が欠如している国または国際機関への個人データの転送を禁止しています。
この侵害の結果、DPCはFacebookの親会社であるMeta Irelandに過去最高となる12億ユーロ(13億ドル)の罰金を課し、GDPRに違反するすべてのデータ転送を決定から5カ月以内に停止するよう要求した。
さらに、メタ社は、 DPA の発表から 6 か月以内に、EU から米国に違法に転送されたデータの処理または保持を停止することが求められます。
タイムライン
Facebookはこれまで、GDPRの2016年EU-米国間プライバシーシールドに基づいて欧州諸国と米国の間でデータを転送しており、プライバシーシールドリストにある米国企業にEUデータを保管することが認められていた。
GDPR に基づく国際データ転送の変更は、2020 年 7 月の「Schrems II」訴訟で変更されました。CJEU は、プライバシー シールド決定に基づく個人データの転送は違法であり、より厳格なデータ管理規制を導入する必要があると判断しました。
2020年8月、アイルランドのDPCはメタのデータ転送活動に対する調査を開始した。 2022年7月、同社はこのテクノロジー大手がGDPR第46条第1項に違反していることを強調した決定草案を公表した。
2023 年 4 月 13 日、欧州データ保護委員会(EDPB) は拘束力のある決定を採択し、DPA に対しメタに罰金を課し、GDPR を遵守するよう命令するよう指示しました。
本日、アイルランドのDPCはEDPBの決定を反映して13億ドルの行政罰金を課し、違反の深刻さを考慮してEDPBのガイドラインに基づいて決定された罰金(適用される最大値の20%から100%)でメタを罰した。
メタの反応
Metaはブログ投稿でこの決定に反応し、シームレスな国境を越えたデータ転送は事業継続にとって非常に重要であり、行政罰金と制限命令は欧州での同社のサービスに深刻な影響を与えるだろうと述べた。
同社によれば、大西洋を越えたすべてのデータ転送は、すべての組織が使用する標準契約条項(SCC)によって管理されており、CJEUは以前、これを「法的保護」を確認するための有効な代替手段として受け入れていた。
「他の何千もの企業と同様に、Meta は SCC が一般データ保護規則 (GDPR) に準拠していると信じて SCC を使用していました」とテクノロジー大手はコメントしています。
同社は罰金が不当、不必要、不均衡であると判断し、判決に対して控訴し、罰金とその基礎となる命令の重さについて争う予定である。
「これは一企業のプライバシー慣行に関するものではありません。データへのアクセスに関する米国政府の規則と欧州のプライバシー権の間には根本的な法の抵触があり、政策立案者は夏までにこの問題を解決する予定です」とメタ氏は説明した。
メタ氏は、同社が以前は誠意を持って行動していたというDPCの認識を無視したEDPBの決定を批判し、現在の法的矛盾を解決する次期データプライバシーフレームワーク(DPF)が間もなく施行されることを考慮すると、これらの手続きのタイミングが悪かったことも強調している。
Comments