Facebook telah gagal dalam upayanya untuk mencegah regulator perlindungan data UE utamanya mendorong keputusan apakah akan memerintahkan penangguhan aliran data UE-AS.
Pengadilan Tinggi Irlandia baru saja mengeluarkan putusan yang menolak tantangan perusahaan terhadap prosedur Komisi Perlindungan Data Irlandia (DPC).
Kasus ini memiliki potensi signifikansi operasional yang sangat besar untuk Facebook, yang mungkin terpaksa menyimpan data pengguna Eropa secara lokal jika diperintahkan untuk berhenti membawa informasi mereka ke AS untuk diproses.
September lalu pengawas data Irlandia membuat perintah awal memperingatkan Facebook mungkin harus menangguhkan aliran data UE-AS. Facebook menanggapi dengan mengajukan tinjauan yudisial dan mendapatkan penundaan prosedur DPC. Blok itu sekarang sedang dibuka blokirnya.
Kami memahami bahwa pihak-pihak yang terlibat telah diberi waktu beberapa hari untuk membaca keputusan Pengadilan Tinggi sebelum sidang berikutnya pada hari Kamis — saat pengadilan diperkirakan akan secara resmi mencabut penahanan Facebook atas penyelidikan DPC (dan menyelesaikan masalah biaya kasus).
DPC menolak untuk mengomentari keputusan hari ini secara rinci – atau pada garis waktu untuk membuat keputusan tentang aliran data UE-AS Facebook – tetapi wakil komisaris Graham Doyle mengatakan kepada kami bahwa “menyambut keputusan hari ini”.
Perintah penangguhan awal pada musim gugur yang lalu mengikuti keputusan penting oleh pengadilan tinggi Eropa di musim panas – ketika CJEU membatalkan perjanjian transatlantik utama tentang aliran data, dengan alasan bahwa pengawasan massal AS tidak sesuai dengan rezim perlindungan data UE.
Kejatuhan dari pembatalan Privacy Shield CJEU (serta putusan sebelumnya yang menjatuhkan pendahulunya Safe Harbor) telah berlangsung selama bertahun-tahun – karena perusahaan yang mengandalkan pemindahan data pengguna UE ke AS untuk diproses harus berebut untuk menemukan alternatif hukum yang valid.
Meskipun CJEU tidak langsung melarang transfer data keluar dari UE, CJEU memperjelas bahwa badan perlindungan data harus turun tangan dan menangguhkan aliran data internasional jika mereka mencurigai data UE berisiko. Dan aliran data UE ke AS ditandai sebagai risiko yang jelas mengingat pengadilan secara bersamaan menjatuhkan Privacy Shield.
Masalah untuk beberapa bisnis karena itu mungkin ada secara sederhana tidak alternatif hukum yang sah. Dan di situlah hal-hal yang terlihat sangat sulit bagi Facebook, karena layanannya berada di bawah pengawasan NSA melalui Bagian 702 FISA (yang digunakan untuk mengesahkan program pengawasan massal seperti Prism).
Jadi apa yang terjadi sekarang untuk Facebook, setelah keputusan Pengadilan Tinggi Irlandia?
Seperti biasa dalam saga hukum yang rumit ini – yang telah berlangsung dalam berbagai bentuk sejak keluhan asli tahun 2013 yang dibuat oleh juru kampanye privasi Eropa Max Schrems – masih ada beberapa jalur yang tersisa untuk dijalankan.
Setelah pembukaan blokir ini, DPC akan memiliki dua penyelidikan: Baik yang asli, terkait dengan keluhan Schrems, dan penyelidikan atas kemauan sendiri yang diputuskan untuk dibuka tahun lalu – ketika dikatakan sedang menghentikan penyelidikan atas keluhan asli Schrems.
Schrems, melalui noyb nirlaba privasinya, mengajukan peninjauan kembali sendiri atas proses DPC. Dan DPC dengan cepat setuju untuk menyelesaikan – menyetujui pada bulan Januari bahwa itu akan “segera” menyelesaikan keluhan asli Schrems. Jadi semuanya sudah bergerak.
Tl;dr dari semua itu adalah ini: Kesalahan terakhir yang telah digunakan untuk menunda tindakan pengaturan di Irlandia atas aliran data UE-AS Facebook akhirnya diekstraksi – dan DPC harus memutuskan pengaduan tersebut.
Atau, dengan kata lain, jam terus berdetak untuk aliran data UE-AS Facebook. Jadi nantikan posting blog bertele-tele lainnya dari Nick Clegg segera.
Schrems sebelumnya memberi tahu TechCrunch bahwa dia mengharapkan DPC untuk mengeluarkan perintah penangguhan terhadap Facebook dalam beberapa bulan – mungkin paling cepat musim panas ini (dan gagal pada musim gugur).
Dalam sebuah pernyataan menanggapi keputusan Pengadilan hari ini, dia menegaskan kembali posisi itu, dengan mengatakan: “Setelah delapan tahun, DPC sekarang diminta untuk menghentikan transfer data UE-AS Facebook, kemungkinan sebelum musim panas. Sekarang kami hanya memiliki dua prosedur, bukan satu.”
Ketika Irlandia (akhirnya) memutuskan itu tidak akan menandai akhir dari prosedur peraturan.
Keputusan oleh DPC tentang transfer Facebook harus diteruskan ke DPA UE lainnya untuk ditinjau — dan jika ada ketidaksepakatan di sana (tampaknya sangat mungkin, mengingat apa yang terjadi dengan draf keputusan GDPR DPC), itu akan memicu penundaan lebih lanjut (berminggu-minggu hingga berbulan-bulan). ) saat Dewan Perlindungan Data Eropa mencari konsensus.
Jika mayoritas DPA UE tidak setuju, Dewan itu sendiri mungkin harus memberikan suara yang menentukan. Sehingga dapat memperpanjang batas waktu seputar perintah penangguhan apa pun. Tetapi akhir dari proses itu, pada akhirnya, sudah terlihat.
Dan, yah, jika ada tekanan domestik yang kritis pernah akan membangun reformasi pro-privasi dari undang-undang pengawasan AS sekarang sepertinya saat yang tepat…
“Kami sekarang berharap DPC mengeluarkan keputusan untuk menghentikan transfer data Facebook sebelum musim panas,” tambah Schrems. “Ini mengharuskan Facebook untuk menyimpan sebagian besar data dari Eropa secara lokal, untuk memastikan bahwa Facebook USA tidak memiliki akses ke data Eropa. Opsi lainnya adalah AS mengubah undang-undang pengawasannya.”
Facebook telah dihubungi untuk mengomentari keputusan Pengadilan Tinggi Irlandia.
Memperbarui: Perusahaan sekarang telah mengirimkan pernyataan ini kepada kami:
Putusan hari ini adalah tentang proses yang diikuti oleh IDPC. Masalah yang lebih besar tentang bagaimana data dapat berpindah ke seluruh dunia tetap menjadi hal yang sangat penting bagi ribuan bisnis Eropa dan Amerika yang menghubungkan pelanggan, teman, keluarga, dan karyawan melintasi Atlantik. Seperti perusahaan lain, kami telah mengikuti aturan Eropa dan mengandalkan Klausul Kontrak Standar, dan perlindungan data yang sesuai, untuk menyediakan layanan global dan menghubungkan orang, bisnis, dan badan amal. Kami berharap dapat mempertahankan kepatuhan kami terhadap IDPC, karena keputusan awal mereka tidak hanya dapat merugikan Facebook, tetapi juga bagi pengguna dan bisnis lainnya.
