ביום שני האחרון (22.5.2023) הוטל על מטא קנס בגובה 1.2 מיליארד אירו, הקנס הגבוה ביותר שהוטל עד כה כתוצאה מהפרות ה-GDPR. קנס זה הוטל בעקבות חקירה שנפתחה בשנת 2020 על ידי רשות הגנת הפרטיות באירלנד ובעקבות הכרעה של הוועדה האירופית להגנת המידע (EDPB) בנושא.
על פי הרשות האירית, החברה הפרה את ה-GDPR כאשר נשענה על הסכמים סטנדרטיים (SCCs) כמנגנון להעברת המידע האישי לארה"ב תקנה 46 ל-GDPR. על פי הרשות, הסכמים אלו אינם מגינים מפני החשש שהועלה כבר בעניין Schrems II, החשש מהקלות היחסית שבה רשאיות רשויות הביטחון האמריקאיות לדרוש מסירתו של מידע אישי הקיים בשרתים המקומיים. כזכור, בעניין Schrems II ביטל בית המשפט האירופי את הסכם ה-Privacy Shield שבין ארה"ב לאירופה בשל חשש זה. החלטה זו הקשתה במיוחד על חברות המעוניינות להשתמש בשירותים אותם מענקיות הטכנולוגיה הממוקמות בארה"ב (גוגל אנליטיקס, פייסבוק פיקסל ועוד).
ההחלטה כנגד מטא בעלת השלכות קשות על חברות אירופאיות וחברות ישראליות הפועלות בתחום האיחוד האירופי. כזכור, על פי ה-GDPR העברת המידע אודות אנשים באיחוד למדינות חיצוניות מתאפשרת רק על בסיס מספר מצומצם של דרכים וביניהן החלטת תאימות והסכמים סטנדרטיים. בעקבות Schrems II וההחלטה האחרונה כנגד מטא, נראה כי האפשרות להעביר מידע לארה"ב מצטמצמת עד כדי בלתי אפשרית, תוך הטלת סיכון כבד על חברות אשר ימשיכו להעביר את המידע.
