Feisbuką valdančiai „Metai“ – milijardinė ES bauda už duomenų apsaugos pažeidimus
JAV technologijų milžinė „Meta“, valdanti tokius socialinius tinklus kaip feisbuką ir instagramą, sulaukė blogų žinių iš Europos Sąjungos (ES). Kompanijai skirta rekordinė, net 1,2 mlrd. eurų siekianti bauda už tai, kad nesilaikė ES privatumo taisyklių[1].
Airijos duomenų apsaugos komisija pirmadienį paskelbė, kad „Meta“ pažeidė Bendrąjį duomenų apsaugos reglamentą (BDAR) perkeldama Europos feisbuko vartotojų duomenis į JAV ir jų tinkamai neapsaugojusi nuo valstijose taikomos duomenų stebėjimo praktikos.
JAV neturi bendro federalinio įstatymo, kuriuo būtų prižiūrimas duomenų privatumas. Tuo tarpu ES galioja Skaitmeninių paslaugų įstatymas, kuris verčia didžiąsias technologijų bendroves apsaugoti Europos vartotojus nuo neapykantos kalbos, dezinformacijos ir kito žalingo interneto turinio.
ES ir JAV anksčiau bendradarbiavo Privatumo skydo sistemoje, kuri leido įmonėms perduoti asmens duomenis laikantis visų svarbiausių apsaugos reikalavimų, tačiau 2020 m. Europos Teisingumo Teismas panaikino šį ES ir JAV susitarimą.
Sprendimas buvo priimtas baiminantis JAV žvalgybos tarnybų sekimo praktikos. Tame pačiame sprendime aukščiausio rango ES teismas taip pat sugriežtino reikalavimus, keliamus teisinėms priemonėms, kurias įmonės plačiai naudoja asmens duomenims perduoti į JAV.
ES vardu veikianti Airijos duomenų apsaugos komisija (DPC) jau nuo 2020 m. tiria „Meta“ valdomo feisbuko vartotojų duomenų perdavimą iš ES į JAV ir nustatė, kad kompanija per kelerius metus taip ir nesugebėjo pašalinti ankstesniame Europos Sąjungos Teisingumo Teismo (ESTT) sprendime nustatytų grėsmių.
„Bendrovės „Meta“ padarytas pažeidimas yra labai rimtas, nes jis susijęs su duomenų perdavimu, kuris yra sistemingas, pasikartojantis ir nuolatinis. Feisbukas turi milijonus naudotojų Europoje, todėl perduodamų asmens duomenų kiekis yra didžiulis. Ši beprecedentė bauda yra aiškus ženklas organizacijoms, kad rimti pažeidimai turi toli siekiančių pasekmių“, – sprendimą aiškina Europos duomenų apsaugos valdybos (EDPB) pirmininkė Andrea Jelinek[2].
ES sprendimą „Meta“ žada ginčyti
Airijos duomenų apsaugos komisijai priėmus galutinį sprendimą, „Meta“ dabar turi per šešis mėnesius užtikrinti, kad jos duomenų operacijos prisitaikytų prie naujausių Europoje priimtų reikalavimų. Kompanija per šį laikotarpį taip pat turi nutraukti neteisėtą Europos vartotojų duomenų tvarkymą ir sustabdyti jų kaupimą JAV.
Į šį ES sprendimą, baudą ir kompanijai pateiktus reikalavimus sureaguoti jau spėjo patys „Meta“ vadovai. Kompanijos globalių reikalų prezidentas Nickas Cleggas ir vyriausioji teisininkė Jennifer Newstead paskelbė viešą pareiškimą, kuriame pareiškė, kad ES sprendimas yra „klaidingas, nepagrįstas ir kuriantis pavojingą precedentą daugybei kitų bendrovių, perduodančių duomenis tarp ES ir JAV“.
„Meta“ planuoja apskųsti šį sprendimą, įskaitant nepagrįstą ir nereikalingą baudą, ir per teismą siekti, kad nutarimai būtų sustabdyti“, – teigiama „Meta“ atstovų pareiškime[3].
Šiame pranešime akcentuojama, kad galimybė perduoti duomenis tarp skirtingų pasaulio kraštų yra esminis atviro interneto veikimo principas, kurį sustabdžius, internetas „apribos pasaulinę ekonomiką, o skirtingų šalių piliečiai negalės naudotis daugeliu bendrų paslaugų“.
„Metai“ skirta bauda – dešimtmetį trunkančio bylinėjimosi su technologijų gigante pabaiga
Technologijų milžinei ES paskirta bauda yra didžiausia, skirta pagal BDAR privatumo teisės aktą. Šis reglamentas taikomas organizacijoms, kurios tvarko duomenis ES, ir už ES ribų veikiančioms organizacijoms, kurių veikla yra orientuota į ES gyventojus.
BDAR taikomas, jeigu įmonė tvarko asmens duomenis ir yra įsisteigusi ES, nepaisant to, kur faktiškai tvarkomi asmens duomenys. Reglamentas taip pat taikomas, jei įmonė yra įsisteigusi už ES ribų, tačiau tvarko asmens duomenis siūlydama asmenims prekes ar paslaugas ES arba čia stebi asmenų elgesį.
Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti” kartu su duomenimis. Tai reiškia, kad jei duomenys yra perkeliami į užsienį, tai daranti kompanija privalo užtikrinti, kad būtų laikomasi vienos iš šių priemonių: ES nepriklausančios šalies apsaugos priemones ES laiko tinkamomis, pati įmonė imasi būtinų priemonių, kad suteiktų tinkamas apsaugos priemones arba įmonė remiasi konkrečiais perdavimo pagrindais, pavyzdžiui, asmens sutikimu[4].
Pagal ES aktualų BDAR paskirta bauda „Metai“ sensacinga ir dėl to, kad ja užbaigiama dešimtmetį besitęsianti byla, kurią iškėlė Austrijos teisininkas ir privatumo aktyvistas Maksas Schremsas.
Dar 2013 m. M. Schremsas teismui pateikė skundą dėl kompanijos elgesio su jo asmeniniais duomenimis. Ieškinį teismui M. Schremsas pateikė netrukus po to, kai tuometinis JAV Nacionalinio saugumo agentūros žvalgybininkas Edwardas Snowdenas nutekino slaptus dokumentus, atskleidžiančius masinį Amerikos piliečių sekimą, vykdomą jų pačių žvalgybos aparato.
Dabar įvertinęs ES sprendimą, M. Schremsas teigė, kad „Metai“ skirta bauda galėjo būti daug didesnė, atsižvelgiant į tai, kad pagal BDAR, maksimali bauda yra daugiau nei 4 mlrd. eurų, o pati „Meta“, M. Schremso teigimu, daugiau nei dešimt metų sąmoningai pažeidinėjo įstatymus, kad gautų pelną.
Didžiausia nuobauda feisbukui siekia net 5 mlrd.
O ši bauda, kurios sulaukė „Meta“ nėra pati didžiausia, skirta technologijų kompanijai. 2019 m. JAV Federalinė prekybos komisija (FTC) feisbukui skyrė net 5 mlrd. dolerių baudą už „Cambridge Analytica“ skandalą ir kitus privatumo pažeidimus.
Ši bauda buvo didžiausia, kokią kada nors yra skyrusi FTC. Tiesa, bendrovė galiausiai teisme susitarė, jog sumokės tik dėl 725 mln[5].
Dėl didžiulio feisbuko pažeidimo masto ir plačiai nuskambėjusių politinių pasekmių šis skandalas tapo didžiausio atgarsio sulaukusiu duomenų privatumo skandalu.
Dar 2018 m. paaiškėjo, kad Jungtinėje Karalystėje veikusi politinių konsultacijų įmonė „Cambridge Analytica“ gavo milijonų feisbuko vartotojų asmens duomenis be jų sutikimo.
Duomenis „Cambridge Analytica“ rinko naudodama trečiosios šalies programą, kuri buvo pateikta viktorinos formatu. Ji rinko ne tik tų feisbuko klientų duomenis, kurie minėtoje viktorinoje dalyvavo, tačiau kaupė ir jų feisbuko draugų informaciją.
Pagal šiuos duomenis, „Cambridge Analytica“ galėjo sukurti išsamius asmenų profilius, kuriuos buvo galima naudoti tikslinės politinės reklamos ir nuomonių formavimo kampanijoms.
Šis skandalas sukėlė visuotinį susirūpinimą dėl privatumo, duomenų apsaugos ir etinių duomenų naudojimo pasekmių. Tai visuomenę taip pat privertė susirūpinti tuo, kaip technologijų kompanijos renka ir naudoja žmonių duomenis politiniais ar komerciniais tikslais be naudotojų sutikimo.
Būtent tuomet feisbukas sulaukė griežtesnės kontrolės, o kompanijos atžvilgiu tyrimai buvo pradėti ne tik JAV, tačiau ir kitose pasaulio valstybėse.
