W konsekwencji DPC zobowiązała Meta UE do zawieszenia przepływu danych osobowych do jej spółki powiązanej w USA („Meta USA”). Meta UE ma również dostosować operacje przetwarzania do przepisów RODO poprzez zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania danych osobowych w USA w terminie 6 miesięcy od ogłoszenia decyzji. Niezależnie, na Meta nałożona została kara pieniężna w rekordowej wysokości 1,2 miliarda euro.

Analizując stan prawny i faktyczny sprawy, a także szereg decyzji i orzeczeń wydanych już do tej pory w postępowaniach zainicjowanych przez NOYB, DPC doszedł do następujących wniosków:

1. Prawa osób, których dane są przekazywane do USA w praktyce nie mogą być w pełni egzekwowane, a dane te są narażone na istotną ingerencję ze strony władz publicznych w oparciu o rygorystyczne przepisy inwigilacyjne. Jest to konsekwencją faktu, iż prawo obowiązujące w USA nie zapewnia osobom, których dane dotyczą poziomu ochrony, który jest zasadniczo równoważny z poziomem zapewnianym im przez prawo Unii Europejskiej.
2. Zawarcie przez Meta UE oraz Meta USA umowy obejmującej standardowe klauzule ochrony danych przyjęte przez Komisję Europejską Decyzją Wykonawczą nr 2021/914 nie pozwala na zrekompensowanie braku zapewnienia wystarczającej ochrony przez prawo USA.
3. Braku adekwatnego poziomu ochrony nie rekompensuje również wdrożenie przez Meta UE szeregu dodatkowych środków bezpieczeństwa, w tym m.in. implementowanie polityk i procedur wiążących również Meta USA, stosowanie algorytmów i protokołów szyfrowania w celu zabezpieczenia i zachowania poufności przesyłanych danych, wdrożenie kryptograficznej ochrony haseł, prowadzenie regularnych audytów stosowanych środków bezpieczeństwa czy zobowiązanie Meta USA do kwestionowania otrzymanych wniosków o ujawnienie danych osobowych, w odniesieniu do których zachodzą wątpliwości co do legalności lub proporcjonalności.
4. Ze względu na fakt, że przekazywanie przez Meta UE danych osobowych do USA ma charakter systematyczny, masowy, powtarzalny i ciągły, co do zasady, brak jest też podstaw do oparcia transferów na wyjątkowych przesłankach przewidzianych w art. 49 RODO (takich jak np. niezbędność do wykonania umowy między osobą, której dane dotyczą a Meta UE).

Omawiana decyzja stanowi potwierdzenie, że europejskie organy ochrony danych osobowych podchodzą bardzo restrykcyjnie do kwestii zapewnienia osobom, których dane osobowe są przekazywane do USA egzekwowalnych praw oraz skutecznych środków ochrony prawnej. Biorąc natomiast pod uwagę szeroki zakres zastosowania amerykańskich przepisów inwigilacyjnych, w zasadzie każdy transfer danych osobowych do USA będzie się wiązał z ryzkiem naruszenia przepisów RODO. Tymczasem w praktyce w ramach działalności polskich przedsiębiorców transfery takie nadal mają miejsce i to dość powszechnie, np. w przypadku stosowania narzędzi analitycznych czy też korzystania z usług poczty elektronicznej lub innych rozwiązań informatycznych oferowanych przez firmy amerykańskie.

Przedsiębiorcy muszą zatem rozważyć, czy ryzyko uznania dokonywanych przez nich transferów danych do USA za niezgodne z RODO jest dla nich akceptowalne, czy też istnieje możliwość zastąpienia niektórych usług lub narzędzi takimi, które nie wymagają przesyłania danych poza EOG. Jeśli jednak transfer danych osobowych do USA w ramach danej działalności jest konieczny (np. w ramach grup kapitałowych, w których część spółek ma siedzibę w USA), podmiot dokonujący transferu powinien przeanalizować, czy jest w stanie zastosować takie zabezpieczenia i środki prawne, organizacyjne oraz techniczne, które ograniczą ryzyko naruszenia przepisów RODO (tu pomocne mogą być np. Zalecenia 01/2020 wydane przez EROD) lub oprzeć transfer danych na szczególnych przesłankach z art. 49 RODO.