Ngày 22 tháng 5 năm 2023Ravie LakshmananBảo vệ dữ liệu / Quyền riêng tư
Công ty mẹ của Facebook, Meta, đã bị các cơ quan quản lý bảo vệ dữ liệu của Liên minh châu Âu phạt mức kỷ lục 1,3 tỷ USD vì chuyển dữ liệu cá nhân của người dùng trong khu vực sang Mỹ.
Trong một quyết định ràng buộc được đưa ra bởi Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB), gã khổng lồ truyền thông xã hội đã được yêu cầu chuyển dữ liệu của mình tuân thủ GDPR và xóa dữ liệu được lưu trữ và xử lý bất hợp pháp trong vòng sáu tháng.
Ngoài ra, Meta đã có 5 tháng để đình chỉ mọi hoạt động chuyển dữ liệu của người dùng Facebook trong tương lai sang Instagram và WhatsApp của Hoa Kỳ, cũng thuộc sở hữu của công ty, không phải tuân theo lệnh này.
Andrea Jelinek, Chủ tịch EDPB, cho biết trong một tuyên bố: “EDPB nhận thấy rằng vi phạm Meta IE là rất nghiêm trọng vì nó liên quan đến việc chuyển tiền có hệ thống, lặp đi lặp lại và liên tục”.
“Facebook có hàng triệu người dùng ở châu Âu, vì vậy khối lượng dữ liệu cá nhân được truyền đi là rất lớn. Khoản tiền phạt chưa từng có là một tín hiệu mạnh mẽ cho các tổ chức rằng các hành vi vi phạm nghiêm trọng sẽ gây ra những hậu quả sâu rộng.”
Các cơ quan bảo vệ dữ liệu của Châu Âu đã nhiều lần nhấn mạnh việc thiếu các biện pháp bảo vệ quyền riêng tư tương đương như GDPR ở Hoa Kỳ, có khả năng cho phép các cơ quan tình báo Hoa Kỳ truy cập dữ liệu của người Châu Âu do chúng được chuyển đến các máy chủ đặt tại Hoa Kỳ
Phán quyết bắt nguồn từ một khiếu nại pháp lý của nhà hoạt động bảo mật người Áo Maximilian Schrems, người sáng lập NOYB, gần một thập kỷ trước vào tháng 6 năm 2013 về những lo ngại rằng dữ liệu người dùng EU không được bảo vệ đầy đủ khỏi các cơ quan tình báo Hoa Kỳ khi được chuyển qua Đại Tây Dương.
“Cách khắc phục đơn giản nhất sẽ là những hạn chế hợp lý trong luật giám sát của Hoa Kỳ,” Schrems nói. “Có sự hiểu biết ở cả hai bờ Đại Tây Dương rằng chúng ta cần có nguyên nhân có thể xảy ra và sự chấp thuận của tòa án đối với hoạt động giám sát.
“Đã đến lúc cấp các biện pháp bảo vệ cơ bản này cho khách hàng EU của các nhà cung cấp đám mây Hoa Kỳ. Bất kỳ nhà cung cấp đám mây lớn nào khác của Hoa Kỳ, chẳng hạn như Amazon, Google hoặc Microsoft đều có thể bị đưa ra quyết định tương tự theo luật của EU.”
“Meta có kế hoạch dựa vào thỏa thuận mới để chuyển nhượng trong tương lai, nhưng đây có thể không phải là giải pháp khắc phục vĩnh viễn,” Schrems nói thêm. “Theo quan điểm của tôi, thỏa thuận mới có thể có 10% cơ hội không bị CJEU giết. Trừ khi luật giám sát của Hoa Kỳ được sửa chữa, Meta có thể sẽ phải giữ dữ liệu của EU ở EU.”
Schrems cũng cáo buộc Ủy ban Bảo vệ Dữ liệu Ailen (DPC) liên tục cố gắng ngăn chặn vụ việc tiếp tục và cố gắng bảo vệ Meta khỏi bị phạt tiền và phải xóa dữ liệu đã được chuyển, hai trong số đó có đã bị lật đổ bởi EDPB.
Đáp lại, Meta cho biết họ có ý định kháng cáo phán quyết, gọi mức phạt là “không chính đáng và không cần thiết” và rằng có “xung đột luật cơ bản” giữa các quy tắc của chính phủ Hoa Kỳ về quyền truy cập dữ liệu và quyền riêng tư của châu Âu.
“Nếu không có khả năng truyền dữ liệu xuyên biên giới, internet có nguy cơ bị chia cắt thành các silo quốc gia và khu vực, hạn chế nền kinh tế toàn cầu và khiến công dân ở các quốc gia khác nhau không thể truy cập nhiều dịch vụ dùng chung mà chúng ta dựa vào,” Nick của Meta Clegg và Jennifer Newstead nói.
Năm ngoái, công ty đã cảnh báo rằng nếu được yêu cầu tạm dừng chuyển dữ liệu sang Mỹ, họ có thể phải ngừng cung cấp “một số sản phẩm và dịch vụ quan trọng nhất của chúng tôi” tại EU. Theo Wall Street Journal, một đợt chuyển dữ liệu xuyên Đại Tây Dương mới thỏa thuận dự kiến sẽ được hoàn tất để thay thế cho Privacy Shield vào cuối năm nay.
Đây là khoản tiền phạt lớn nhất từng được áp dụng theo luật về quyền riêng tư GDPR của Liên minh Châu Âu, vượt qua khoản tiền phạt trị giá 746 triệu euro (886,6 triệu USD vào thời điểm đó) trước đó đã được chuyển cho Amazon vào tháng 7 năm 2021 vì những vi phạm quyền riêng tư tương tự.
Sự phát triển này cũng đánh dấu hình phạt tiền thứ ba do UBND huyện ban hành chỉ trong năm nay. Vào tháng 1, cơ quan giám sát đã phạt 390 triệu euro vì xử lý sai thông tin người dùng để phân phát quảng cáo trên Facebook và Instagram.
Hai tuần sau, nó bị phạt 5,5 triệu euro vì vi phạm luật bảo vệ dữ liệu bằng cách buộc người dùng “đồng ý xử lý dữ liệu cá nhân của họ để cải thiện dịch vụ và bảo mật” và “làm cho khả năng truy cập dịch vụ của nó có điều kiện khi người dùng chấp nhận Điều khoản cập nhật của Dịch vụ.”
