На 22 май 2023 г. Ирландската Комисия за защита на данните (DPC) наложи на Meta Platforms Ireland Ltd. рекордна глоба от 1.2 милиарда евро – най-голямата в историята на GDPR.
Причината: Meta незаконно е прехвърляла лични данни на европейски потребители към сървъри в САЩ, без адекватни гаранции за защита.
Решението предизвика истински трус в дигиталния свят. Но то има значение не само за гиганти като Facebook и Instagram, а и за всички български бизнеси, които обработват лични данни чрез онлайн услуги, базирани извън ЕС.
1. Какво реши DPC
Ирландската комисия, действаща като водещ надзорен орган по GDPR за Meta, постанови, че компанията нарушава:
-
чл. 46, §1 от GDPR – прехвърляне на лични данни извън ЕС без „адекватни мерки за защита“;
-
чл. 5, §1, б. а) и б. ф) – принципите на законност, прозрачност и сигурност при обработване.
Meta използвала стандартни договорни клаузи (SCCs), които след решението на Съда на ЕС по делото Schrems II (C-311/18, 2020 г.) вече не се считат за достатъчни, когато в държавата получател (в случая САЩ) няма равностойна защита на данните.
DPC постанови:
-
глоба от 1.2 млрд. евро;
-
забрана за прехвърляне на данни от ЕС към САЩ;
-
задължение за изтриване или връщане на всички вече прехвърлени данни.
2. Какво означава това за българските фирми
Много български компании – от онлайн магазини до SaaS бизнеси – използват платформи като Google Analytics, Facebook Pixel, Mailchimp, HubSpot и други американски услуги.
Ако тези инструменти прехвърлят данни към сървъри извън ЕС, бизнесът рискува да бъде в нарушение на GDPR, дори без да осъзнава това.
Комисията за защита на личните данни (КЗЛД) вече следва позицията на DPC и EDPB:
„Администраторите на лични данни носят отговорност да гарантират, че всяко трансгранично предаване се извършва с адекватни гаранции.“
💡 Пример: ако онлайн магазин в България използва Meta Ads и Facebook Pixel за проследяване на потребителско поведение, тези данни се изпращат към Meta Ireland – а оттам, потенциално, към САЩ.
3. Какви мерки трябва да предприемат бизнесите
✅ Провери откъде се обработват данните ти
-
Прегледай политиката за поверителност на всички външни услуги, които използваш.
-
Провери къде физически се намират техните сървъри.
✅ Добави правна клауза за трансфер на данни
В политиката за поверителност трябва да има изричен раздел:
„Трансфер на данни извън ЕС се извършва само при наличие на адекватни гаранции съгласно чл. 46 от GDPR.“
✅ Обмисли локални или европейски алтернативи
-
Вместо Mailchimp → Brevo (Sendinblue)
-
Вместо Google Analytics → Matomo (EU-hosted)
-
Вместо Amazon AWS (US region) → OVH Cloud (EU region)
✅ Провеждай периодичен GDPR одит
Дори най-малките онлайн магазини трябва да могат да покажат доказателства, че знаят къде се съхраняват данните на клиентите им.
4. Реакцията на Meta и ефектът върху индустрията
Meta обжалва решението пред Ирландския Висш съд, но междувременно беше принудена да въведе нов механизъм за трансфер на данни, базиран на EU–US Data Privacy Framework (влязъл в сила през юли 2023 г.).
Този механизъм все още е под наблюдение и може да бъде оспорен отново от активисти като Max Schrems и организацията noyb.eu.
За европейския бизнес това е сигнал, че GDPR се прилага с пълна сила – независимо дали става дума за корпорации или за малки компании, които използват техните услуги.
5. Какво следва
Случаят Meta срещу DPC показа, че Европа сериозно защитава личните данни на гражданите си.
Но той поставя и практическа дилема: как да функционират малките онлайн бизнеси в среда, в която почти всички технологични инструменти са американски?
Отговорът е адаптация, а не паника.
Българските предприемачи трябва да:
-
актуализират своите политики за поверителност;
-
избират европейски доставчици, когато е възможно;
-
консултират се с юрист при съмнение за трансфер извън ЕС.
