Facebook හි මව් සමාගම වන Meta, පරිශීලක තොරතුරු හැසිරවීම සඳහා යුරෝපීය සංගමයේ එහි ප්රමුඛ රහස්යතා නියාමකයා විසින් වාර්තාගත යුරෝ බිලියන 1.2 (ඩොලර් බිලියන 1.3) දඩයක් නියම කර ඇති අතර පරිශීලකයින්ගේ දත්ත එක්සත් ජනපදයට මාරු කිරීම නැවැත්වීමට මාස පහක කාලයක් ලබා දී ඇත.
අයර්ලන්තයේ දත්ත ආරක්ෂණ කොමිසම (DPC) විසින් පනවන ලද දඩය 2018 දී බලාත්මක වූ EU හි සාමාන්ය දත්ත ආරක්ෂණ රෙගුලාසි (GDPR) යටතේ මෙතෙක් ඇති විශාලතම දඩය වේ. එය Amazon.com Inc මත ලක්සම්බර්ග් විසින් පනවන ලද යුරෝ මිලියන 746 ක පෙර වාර්තාව අභිබවා යයි. 2021 දී.
නීත්යානුකූලභාවය, සාධාරණත්වය, විනිවිදභාවය, අරමුණු සීමා කිරීම, දත්ත අවම කිරීම, නිරවද්යතාවය සහ වගවීම යන මූලධර්ම ඇතුළුව GDPR හි විධිවිධාන කිහිපයක් මෙටා විසින් කඩ කර ඇති බව DPC සඳුදා ප්රකාශයක් නිකුත් කරමින් කියා සිටියේය.
DPC විසින් Meta වෙත නියෝග දෙකක් නිකුත් කරන ලද අතර, 2023 ඔක්තෝබර් 31 වන විට EU පරිශීලකයින්ගේ පුද්ගලික දත්ත එක්සත් ජනපදයට මාරු කිරීම නැවැත්වීමට අවශ්ය වන අතර, දැනටමත් මාරු කර ඇති එවැනි දත්ත මකා දැමීම හෝ නිර්නාමික කිරීම අවශ්ය වේ.
මෙටා ප්රකාශයක් නිකුත් කරමින් කියා සිටියේ එය “අසාධාරණ සහ අනවශ්ය දඩය” ඇතුළුව තීන්දුවට අභියාචනා කරන බවත් අධිකරණය හරහා නියෝග අත්හිටුවීමට උත්සාහ කරන බවත්ය.
දශකයක නීතිමය අරගලයක්
DPC හි තීරණය 2011 දී ඔස්ට්රියානු රහස්යතා ක්රියාකාරිකයෙකු වන Max Schrems විසින් කරන ලද පැමිණිල්ලක් සමඟින් ආරම්භ වූ Facebook එහි දත්ත ගබඩා කරන්නේ කොතැනද යන්න පිළිබඳ දශකයක දීර්ඝ නීතිමය සටනක කූටප්රාප්තියයි.
හිටපු එන්එස්ඒ කොන්ත්රාත්කරු එඩ්වඩ් ස්නෝඩන් විසින් හෙළි කරන ලද පරිදි, ෆේස්බුක් හි දත්ත එක්සත් ජනපදයට මාරු කිරීම යුරෝපා සංගම් පරිශීලකයින් එක්සත් ජනපද බුද්ධි අංශ විසින් මහා නිරීක්ෂණ අවදානමකට නිරාවරණය කර ඇති බව Schrems තර්ක කළේය.
එක්සත් ජනපදයේ යුරෝපා සංගම් දත්ත සඳහා ප්රමාණවත් ආරක්ෂාවක් සහතික කිරීමට නියමිතව තිබූ සම්මත කොන්ත්රාත් වගන්ති (SCCs) සහ රහස්යතා පලිහ ලෙස හැඳින්වෙන නීතිමය යාන්ත්රණයන් ෆේස්බුක් භාවිතා කිරීම Schrems අභියෝග කළේය.
කෙසේ වෙතත්, Schrems ගේ නඩු වලින් පසුව පිළිවෙලින් 2015 සහ 2020 දී EU හි ඉහල උසාවිය විසින් යාන්ත්රණ දෙකම අවලංගු කරන ලදී.
එක්සත් ජනපද නිරීක්ෂණ නීති සහ භාවිතයන් අනුව EU දත්ත සඳහා SCCs සහ Privacy Shield ප්රමාණවත් ආරක්ෂාවක් සපයා නැති බව අධිකරණය තීන්දු කළේය.
EU නීතියට අනුකූල නොවන දත්ත හුවමාරු කිරීම් අත්හිටුවීමට හෝ තහනම් කිරීමට DPC වැනි ජාතික දත්ත ආරක්ෂණ බලධාරීන්ට අධිකරණය උපදෙස් දුන්නේය.
ක්ෂිතිජයේ නව ගිවිසුමක්?
EU පුරවැසියන්ගේ පුද්ගලික දත්ත එක්සත් ජනපදයට ආරක්ෂිතව මාරු කිරීමට පහසුකම් සපයන නව ගිවිසුමක් මාරු කිරීම් අත්හිටුවීමට පෙර සම්පූර්ණයෙන්ම ක්රියාත්මක වනු ඇතැයි අපේක්ෂා කරන බව Meta පසුගිය මාසයේ පැවසීය.
එයින් අදහස් වන්නේ යුරෝපයේ ෆේස්බුක් සේවා අත්හිටුවීමට නවතා දැමීමක් බල කළ හැකි බවට එහි පෙර අනතුරු ඇඟවීම ඉටු නොවන බවයි.
2023 මාර්තු මාසයේදී යුරෝපීය සංගමය සහ එක්සත් ජනපද රජය විසින් එකඟ වූ නව දත්ත ආරක්ෂණ රාමුව ජූලි මාසය වන විට සූදානම් විය හැකි බව නිලධාරීන් පවසා ඇත, නමුත් එය නියමිත වේලාවට සූදානම් නොවීමට ඉඩ ඇති බවට මෙටා අනතුරු ඇඟවීය.
"EU-US Trade and Technology Council (TTC) Privacy Shield" ලෙස නම් කර ඇති නව ගිවිසුම, EU අධිකරණය විසින් මතු කරන ලද ගැටළු විසඳීම සහ එක්සත් ජනපදයේ EU දත්ත සඳහා ශක්තිමත් සහතික ලබා දීම අරමුණු කරයි.
කෙසේ වෙතත්, Schrems පැවසුවේ නව ගිවිසුම මත විශ්වාසය තැබීමට Meta ගේ සැලැස්ම ස්ථිර විසඳුමක් නොවන බවත් එය EU ප්රමිතීන්ට අනුකූල නොවන්නේ නම් ඔහු එයට අභියෝග කරන බවත්ය.
ඔහු "පළමු පියවර" ලෙස DPC හි තීරණය සාදරයෙන් පිළිගත් නමුත් ප්රමාදය සහ දඩ මුදල ඉතා අඩු බව විවේචනය කළේය.
Meta, the parent company of Facebook, has been fined a record 1.2 billion euros ($1.3 billion) by its lead privacy regulator in the European Union for its handling of user information and given five months to stop transferring users’ data to the United States.
The fine imposed by Ireland’s Data Protection Commission (DPC) is the largest ever under the EU’s General Data Protection Regulation (GDPR), which came into force in 2018. It surpasses the previous record of 746 million euros imposed by Luxembourg on Amazon.com Inc in 2021.
The DPC said in a statement on Monday that Meta had breached several provisions of the GDPR, including the principles of lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy and accountability.
The DPC also issued two orders to Meta, requiring it to stop transferring personal data of EU users to the US by October 31, 2023, and to delete or anonymize any such data already transferred.
Meta said in a statement that it will appeal the ruling, including the “unjustified and unnecessary fine”, and seek a stay of the orders through the courts.
A decade-long legal battle
The DPC’s decision is the culmination of a decade-long legal battle over where Facebook stores its data, which began with a complaint by Austrian privacy activist Max Schrems in 2011.
Schrems argued that Facebook’s data transfers to the US exposed EU users to the risk of mass surveillance by US intelligence agencies, as revealed by former NSA contractor Edward Snowden.
Schrems challenged Facebook’s use of legal mechanisms known as Standard Contractual Clauses (SCCs) and Privacy Shield, which were supposed to ensure adequate protection for EU data in the US.
However, both mechanisms were invalidated by the EU’s top court in 2015 and 2020 respectively, following Schrems’ lawsuits.
The court ruled that SCCs and Privacy Shield did not provide sufficient safeguards for EU data in light of US surveillance laws and practices.
The court also instructed national data protection authorities, such as the DPC, to suspend or prohibit data transfers that do not comply with EU law.
A new pact on the horizon?
Meta said last month that it expected a new pact facilitating the safe transfer of EU citizens’ personal data to the United States would be fully implemented before it has to suspend transfers.
That would mean its previous warning that a stoppage could force it to suspend Facebook services in Europe would not come to pass.
Officials have said the new data protection framework - agreed by the European Union and US government in March 2023 - may be ready by July, but Meta also cautioned that there is a chance it might not be ready in time.
The new pact, dubbed “EU-US Trade and Technology Council (TTC) Privacy Shield”, aims to address the concerns raised by the EU court and provide stronger guarantees for EU data in the US.
However, Schrems said that Meta’s plan to rely on the new pact was not a permanent fix and that he would challenge it as well if it did not meet EU standards.
He also welcomed the DPC’s decision as a “first step” but criticized the delay and the amount of the fine as too low.
