A07 — Meta 1,2 mld € DPC: Rekordowa kara RODO za transfery danych do USA

Kategoria: Transfer danych EU→USA / Schrems II / RODO / Privacy Shield Firma/firmy: Meta Platforms Ireland (część Meta Platforms Inc.) Lata: 2020–2023 (praktyka po Schrems II), 22 maja 2023 (kara) Status: Meta złożyła apelację do High Court w Irlandii; spór trwa; Data Privacy Framework (lipiec 2023) tymczasowo rozwiązał problem, ale Schrems III w toku ID karty: A07

Metadane

Pole	Wartość
Kraj/region	Unia Europejska (decyzja DPC Irlandia) vs USA (odbiorca transferów)
Rok ujawnienia	22 maja 2023 (ogłoszenie kary); Schrems II 16 lipca 2020
Lata trwania praktyki	16 lipca 2020 – 22 maja 2023 (okres naruszenia po Schrems II)
Łączna kara	1 200 000 000 EUR
Waluta	EUR
Podstawa prawna	RODO art. 46 ust. 1 (transfer poza EOG bez adekwatnych zabezpieczeń), orzeczenie TSUE C-311/18 (Schrems II)
Sygnalista/odkrywca	Max Schrems / NOYB (skarga pierwotna 2013), Edward Snowden (ujawnienie PRISM 2013)
Liczba poszkodowanych	Wszyscy użytkownicy Facebook w EOG — ~260 mln osób
Status (na dziś)	Kara zapłacona do escrow; apelacja Meta w High Court Irlandia

W skrócie

22 maja 2023 irlandzka Data Protection Commission (DPC) nałożyła na Meta Platforms Ireland — europejskie ramię Meta — rekordową karę 1,2 mld EUR, najwyższą w historii RODO. Podstawa: Meta kontynuowała transfery danych użytkowników Facebooka z EOG do USA po lipcu 2020, kiedy Trybunał Sprawiedliwości UE wyrokiem Schrems II (C-311/18) unieważnił ramy Privacy Shield. Meta opierała transfery na Standardowych Klauzulach Umownych (SCC) z dodatkowymi zabezpieczeniami, ale DPC — po wiążącej decyzji Europejskiej Rady Ochrony Danych (EROD) z 13 kwietnia 2023 — uznała te zabezpieczenia za niewystarczające, bo nie neutralizują dostępu amerykańskich służb wywiadowczych (FISA 702, Executive Order 12333) do danych przetwarzanych przez Meta na serwerach w USA.

Kluczowy szczegół polityczny: DPC pierwotnie nie chciała nakładać kary. Projekt decyzji z 2022 zawierał tylko nakaz zaprzestania transferów bez grzywny. Dopiero interwencja EROD — przy głosowaniu innych europejskich organów ochrony danych — wymusiła karę. To pokazuje strukturalne napięcie w RODO: Irlandia jest siedzibą większości Big Tech w UE (Meta, Google, Apple, LinkedIn, Microsoft, TikTok, X) i ma silną zachętę ekonomiczną do łagodnego egzekwowania; EROD to korygowało.

Sprawa jest kulminacją dziesięcioletniej sagi Maxa Schremsa (Schrems I — 2015, unieważnienie Safe Harbor; Schrems II — 2020, unieważnienie Privacy Shield). W lipcu 2023, zaledwie kilka tygodni po decyzji DPC, Komisja Europejska przyjęła EU-US Data Privacy Framework (DPF) — trzecią próbę ram transferu. Schrems natychmiast zapowiedział Schrems III — twierdzi, że DPF ma te same wady co Privacy Shield. Meta złożyła apelację; do dziś (kwiecień 2026) sprawa toczy się w High Court Ireland.

Dla obywateli UE to najbardziej systemowa sprawa Big Tech w historii RODO — dotyczy nie konkretnego naruszenia, ale fundamentalnej sprzeczności między amerykańskim prawem wywiadu a europejskim prawem prywatności.

Oś czasu

Czerwiec 2013 — Edward Snowden ujawnia program NSA PRISM; dokumenty pokazują bezpośredni dostęp NSA do serwerów m.in. Facebook, Google, Apple, Microsoft.
26 czerwca 2013 — Max Schrems, wówczas austriacki student prawa, składa skargę do irlandzkiej DPC przeciwko Facebook Ireland, argumentując, że transfery do USA naruszają prawo UE po ujawnieniach Snowdena.
6 października 2015 — Schrems I (TSUE sprawa C-362/14): Trybunał unieważnia ramy Safe Harbor (z 2000).
2016 — Komisja Europejska negocjuje i przyjmuje EU-US Privacy Shield jako następcę Safe Harbor.
Październik 2017 — Schrems składa kolejną skargę, tym razem kwestionując także SCC.
16 lipca 2020 — Schrems II (TSUE sprawa C-311/18): Trybunał unieważnia Privacy Shield, stwierdzając, że FISA 702 i EO 12333 dają amerykańskim służbom wywiadowczym nieproporcjonalny dostęp do danych, a osoby z UE nie mają skutecznych środków ochrony w sądach USA. SCC pozostają ważne, ale wymagają oceny każdego transferu i dodatkowych środków.
Lipiec–wrzesień 2020 — Meta oświadcza, że kontynuuje transfery na podstawie SCC z dodatkowymi zabezpieczeniami (szyfrowanie transportowe, pseudonimizacja, audyty).
10 września 2020 — DPC wszczyna formalne dochodzenie przeciwko Meta Ireland.
2021–2022 — Meta wielokrotnie ostrzega w raportach dla SEC, że jeśli nie zostanie przyjęta nowa adequancy decision, może wyłączyć Facebook/Instagram w UE. Politycznie traktowane jako blef.
Koniec 2022 — DPC publikuje wewnętrzny projekt decyzji bez grzywny, tylko z nakazem zaprzestania transferów. Wywołuje to oburzenie innych europejskich DPA.
Styczeń 2023 — projekt decyzji trafia do procedury konsultacji z innymi organami w ramach art. 60 RODO.
13 kwietnia 2023 — EROD wydaje wiążącą decyzję (Binding Decision 1/2023 on the dispute submitted by the Irish SA regarding Meta Platforms Ireland Limited and its Facebook service): DPC musi nałożyć grzywnę “zniechęcającą w kontekście obrotu Meta”.
12 maja 2023 — DPC podejmuje ostateczną decyzję.
22 maja 2023 — publiczne ogłoszenie kary 1,2 mld EUR + nakaz zawieszenia transferów w 5 miesięcy + nakaz zaprzestania przetwarzania danych z UE w USA w 6 miesięcy.
10 lipca 2023 — Komisja Europejska przyjmuje EU-US Data Privacy Framework (DPF) — trzecią próbę ram transferu. Meta rejestruje się w DPF, co skutecznie neutralizuje nakaz DPC.
Lipiec 2023 — Meta składa apelację do irlandzkiego High Court, twierdząc, że kara jest nieproporcjonalna i że nie naruszyła intencjonalnie RODO.
Lipiec 2023 — Schrems / NOYB zapowiadają Schrems III — skargę przeciwko DPF. Dochodzenie toczy się w komitecie LIBE Parlamentu Europejskiego.
Kwiecień 2026 — sprawa apelacyjna Meta w High Court Irlandia nadal w toku; wyrok DPC nieprawomocny.

Mechanizm

Jak to działało — architektura transferu

Meta Platforms Ireland (z siedzibą w Dublinie) to europejska jednostka odpowiedzialna za przetwarzanie danych użytkowników Facebooka w EOG zgodnie z RODO. Dane użytkowników jednak są fizycznie przechowywane i przetwarzane na serwerach w USA — m.in. w centrach danych Meta w Prineville (Oregon), Forest City (North Carolina), Altoona (Iowa). To daje serwisom Meta globalną infrastrukturę i skalę.

Problem: zgodnie z prawem USA:

FISA Section 702 pozwala NSA, CIA i innym agencjom na masowe zbieranie komunikacji zagranicznej przechodzącej przez infrastrukturę amerykańską. Dostawcy (Meta, Google, Apple, Microsoft) są zobowiązani do współpracy.
Executive Order 12333 (z 1981, Reagan) daje służbom wywiadowczym szerokie uprawnienia do zbierania informacji poza USA.

Osoby z UE nie mają dostępu do skutecznego środka odwoławczego — nie mogą podważyć decyzji NSA w sądach federalnych USA, bo Foreign Intelligence Surveillance Court (FISC) jest tajny.

Jak argumentowała Meta

Meta twierdziła, że używanie Standardowych Klauzul Umownych (SCC) — standardowych kontraktów między podmiotami UE i USA, zobowiązujących odbiorcę do przestrzegania poziomu ochrony równorzędnego z RODO — w połączeniu z “dodatkowymi środkami” takimi jak:

szyfrowanie transportowe (TLS)
pseudonimizacja w niektórych bazach
wewnętrzne audyty dostępu
transparency reports ujawniające żądania organów ścigania

jest wystarczające.

Dlaczego argumenty Mety upadły

EROD w decyzji 1/2023 stwierdziła, że dodatkowe środki Mety nie są w stanie neutralizować dostępu amerykańskich służb:

Szyfrowanie transportowe nie pomaga, jeśli Meta sama dekoduje dane na serwerach USA (co robi).
Pseudonimizacja jest odwracalna.
Audyty wewnętrzne nie dają osobom z UE dostępu do ochrony sądowej.

Podstawa prawna kary: RODO art. 46 ust. 1 — transfer poza EOG tylko jeśli odbiorca zapewnia “odpowiednie zabezpieczenia”. Po Schrems II same SCC nie są odpowiednie, jeśli prawo kraju trzeciego je neutralizuje.

Odkrycie

Kim jest Max Schrems

Maximilian Schrems (ur. 10 października 1987 w Salzburgu, Austria; obecna siedziba NOYB: Wiedeń) — prawnik i aktywista ochrony prywatności, założyciel organizacji NOYB (None Of Your Business). W 2011, jako student na University of California w Santa Clara, pisał pracę zaliczeniową o prawie prywatności w USA. Żeby zbadać, jak Facebook obchodzi się z danymi, złożył do Facebook Ireland wniosek o dostęp do swoich danych (art. 15 RODO avant la lettre). Otrzymał 1222 strony dokumentów — w tym dane, które rzekomo skasował. To stało się osnową jego aktywizmu.

W 2013 po ujawnieniach Snowdena złożył pierwszą skargę do DPC. W 2015 wygrał Schrems I. W 2018 założył NOYB — non-profit finansowany ze składek członkowskich, krajowych grantów badawczych i datków prywatnych. W 2020 wygrał Schrems II.

Jak doszło do kary

Odkrycie nastąpiło w dwóch etapach. Pierwsze: ujawnienie Snowdena 2013 — uświadomiło opinii publicznej skalę amerykańskiego nadzoru. Drugie: dekadowa praca sądowa Schremsa, która doprowadziła do wyroków TSUE.

Kara 1,2 mld € to nie ujawnienie sygnalistyczne w klasycznym sensie — to konsekwencja długotrwałego działania prawno-aktywistycznego.

Pierwsze publikacje (ogłoszenie kary)

22 maja 2023 — komunikat prasowy DPC Irlandia: https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
22 maja 2023 — równoległe artykuły: Politico Europe (Mark Scott), Financial Times, NYT, WSJ, Reuters, Bloomberg
22 maja 2023 — oświadczenie EROD i Komisji Europejskiej

Osoby kluczowe

Aktywiści i sygnaliści

Maximilian Schrems — centralna postać. Dekada aktywizmu. Po decyzji oświadczył: “Ta kara to tylko wierzchołek góry lodowej — wszystkie amerykańskie firmy chmury są w tej samej sytuacji co Meta. Jedyną trwałą odpowiedzią jest reforma prawa wywiadu USA.”
NOYB — organizacja Schremsa; prowadzi dziesiątki skarg przeciwko Meta, Google, Apple, TikTok, Microsoft.
Edward Snowden — nie sygnalista tej sprawy, ale bez jego ujawnień PRISM (2013) Schrems II nie byłby możliwy.

Regulatorzy

Helen Dixon — Data Protection Commissioner Irlandia (2014–2024); krytykowana za powolność postępowań. DPC pod jej kierownictwem przez lata traktowana była jako zbyt łagodna wobec Big Tech.
Des Hogan (Chairperson) i Dale Sunderland — Data Protection Commissioners od 20 lutego 2024 (po Helen Dixon). Od 2024 DPC działa w modelu dwukomisyjnym.
Andrea Jelinek — przewodnicząca EROD do 2023; kluczowa postać przy wiążącej decyzji 1/2023.
Anu Talus — przewodnicząca EROD od 2023.
Didier Reynders — Komisarz UE ds. sprawiedliwości 2019–2024; architekt Data Privacy Framework.

Kluczowi prawnicy sprawy TSUE

Herwig Hofmann — profesor prawa UE, Uniwersytet Luksemburga; ekspert prawny NOYB.
Monika Niedermaier, Katharina Raabe-Stuppnig — prawnicy Schremsa.

Reakcja firmy

Postępowanie prawne

Jurysdykcje

Irlandia — DPC jako wiodący organ nadzorczy, High Court jako apelacja
UE jako całość — EROD wiążąca decyzja 1/2023
Pośrednio USA — spór o adequancy dotyczy prawa USA

Podstawa prawna

RODO art. 46 ust. 1 — “Przekazanie danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, o ile administrator lub podmiot przetwarzający zapewnili odpowiednie zabezpieczenia”.
RODO art. 83 ust. 5 — kary za naruszenie art. 46: do 4% globalnego obrotu lub 20 mln €, którejkolwiek wyższej.
Art. 65 RODO — wiążąca decyzja EROD przy sporach między DPA.

Kluczowe etapy

Data	Etap
16 lipca 2020	Schrems II — TSUE unieważnia Privacy Shield
Wrzesień 2020	DPC wszczyna dochodzenie
2022	Projekt decyzji DPC bez grzywny
13 kwietnia 2023	Wiążąca decyzja EROD
22 maja 2023	Kara 1,2 mld €
Lipiec 2023	DPF; apelacja Meta
Do dziś	Sprawa w High Court

Orzecznictwo powiązane

Schrems I (C-362/14, 2015) — unieważnienie Safe Harbor
Schrems II (C-311/18, 2020) — unieważnienie Privacy Shield
Potencjalnie Schrems III (niewniesiona jeszcze przed TSUE, skarga NOYB przeciwko DPF)
Quadrature du Net (sprawa rozwojowa) — adekwatność prawna usług cyfrowych w kontekście nadzoru państwa

Kary i ugody

Data	Organ	Kwota	Jurysdykcja	Podstawa
22 maja 2023	DPC Irlandia	1 200 000 000 EUR	UE	RODO art. 46 ust. 1

Kara zapłacona do escrow (depozytu sądowego) w związku z apelacją. Wyrok DPC nieprawomocny w kwietniu 2026.

Dodatkowe sankcje:

Nakaz zawieszenia transferów w 5 miesięcy (efektywnie zneutralizowany przez DPF)
Nakaz zaprzestania przetwarzania danych z UE w USA w 6 miesięcy (j.w.)

Precedensy i implikacje

Dla prawa UE

Największa kara RODO w historii — dotychczasowe rekordy: 746 mln € Amazon (2021), 405 mln € Meta/Instagram (2022).
Potwierdzenie, że EROD ma realny głos w sporach DPA — zmiana dynamiki enforcement.
Strukturalne wyzwanie dla suwerenności cyfrowej UE — pokazuje, że dopóki główni providerzy chmury są amerykańscy, dane UE są w praktyce dostępne dla służb USA.

Dla prawa USA

Pośredni motor reformy FISA 702 w Kongresie — w 2024 FISA 702 reauthorization zawierała ograniczenia, ale nie w pełni adresowała zastrzeżenia UE.
Executive Order 14086 (Biden, październik 2022) wprowadziło Data Protection Review Court i inne środki, które były podstawą DPF.

Dla innych jurysdykcji

UK — UK GDPR jest kopią RODO; post-Brexit UK potrzebuje własnej adequancy decision (wydana 2021, obowiązuje do 2025, w renegocjacji).
Szwajcaria, Japonia, Korea Płd. — obserwują rozwój, bo mają własne adequancy decisions.
Chiny, Rosja — używają sprawy jako argumentu przeciwko USA w debacie o cyberbezpieczeństwie.

Dla praktyki Big Tech

Onshoring infrastructure — Meta, Google, Microsoft zaczęły budować regionalne centra danych w UE (Meta Luleå, Google Dublin, Microsoft niedawno ogłoszone) jako “EU cloud sovereignty”.
EU Data Boundary (Microsoft, 2024) — umożliwia klientom trzymanie wszystkich danych w UE.
Debata o “EuroStack” — europejskich alternatywach dla AWS/Azure/GCP.

Pozwy zbiorowe

Brak znaczących pozwów zbiorowych bezpośrednio powiązanych z karą 1,2 mld €. Schrems / NOYB prowadzą jednak dziesiątki równoległych skarg przeciwko innym aspektom działania Meta.

Wnioski dla obywateli

Sekcja portalowa — praktyczna.

Co to dla mnie znaczy?

Jeśli używasz Facebooka, Instagrama, WhatsAppa lub jakiegokolwiek innego produktu Meta w UE — twoje dane są fizycznie przetwarzane na serwerach w USA, gdzie amerykańskie służby wywiadowcze mają do nich dostęp w ramach FISA 702 i EO 12333. Europejski wymiar sprawiedliwości uznał to za niezgodne z prawem — ale w praktyce nie masz skutecznego sposobu, żeby temu zapobiec, jeśli chcesz nadal korzystać z tych usług. DPF (lipiec 2023) to tymczasowe rozwiązanie, które Schrems zapowiada zaskarżyć.

Jak się chronić?

Preferuj europejskich dostawców: ProtonMail (Szwajcaria), Tutanota (Niemcy), Signal (non-profit, USA, ale E2E), Mastodon (zdecentralizowany, EU-hostowany).
Używaj E2E encryption wszędzie gdzie to możliwe: WhatsApp (E2E, ale metadata idzie do USA), Signal (pełne E2E).
Unikaj chmury USA dla wrażliwych dokumentów: dla prawników, mediatorów, lekarzy — używaj europejskich dostawców chmury (OVH, Hetzner, Strato) lub self-hosted (Nextcloud).
Sprawdź, gdzie jest hostowana twoja firma: możesz to zrobić np. narzędziem “CheckMyWebsite” lub sprawdzając DNS. Jeśli jest na US-based CDN/chmurze, dane klientów idą do USA.
VPN z europejskim exit node — niekoniecznie pomaga, jeśli sam serwis (Meta) jest w USA, ale pomaga w kontekście śledzenia ISP.

Jakie mam prawa?

RODO art. 15 — prawo dostępu: możesz zażądać od Meta listy wszystkich danych, które o tobie przetwarza, oraz informacji o państwach, do których dane są transferowane.

RODO art. 17 — prawo do usunięcia.

RODO art. 77 — prawo złożenia skargi do krajowego organu nadzorczego (w Polsce: Prezes UODO). Jeśli Meta transferuje twoje dane do USA bez ważnej podstawy, możesz zgłosić to UODO.

RODO art. 82 — prawo do odszkodowania za szkodę wynikającą z naruszenia. W maju 2024 TSUE w sprawie VB v. Natsionalna agentsia za prihodite (C-340/21) potwierdził, że sam strach przed nadużyciem danych może stanowić szkodę niematerialną uprawniającą do odszkodowania.

Gdzie się zgłosić?

Polska: Prezes UODO, uodo.gov.pl
UE: Twój krajowy DPA; skargi dotyczące Meta są kierowane do DPC Irlandia jako wiodącego organu
NOYB: noyb.eu — wspiera skargi grupowe, także polskich obywateli

Uwaga dla mediatorów, prawników i przedsiębiorców

Kluczowa praktyczna lekcja: jeśli prowadzisz praktykę, firmę lub fundację, w której przetwarzasz dane klientów — zastanów się, gdzie jest twoja chmura. Używanie Google Workspace, Microsoft 365, Dropbox, Slack, Asana, Notion itp. oznacza, że dane twoich klientów lecą do USA. Masz obowiązki RODO wobec tych klientów. W razie skargi UODO — to ty ponosisz odpowiedzialność, nie Google czy Microsoft. Microsoft EU Data Boundary (od 2024), Google Dublin EU Sovereign Cloud, Proton for Business, Tuta Business — to legalne alternatywy.

Jeśli świadczysz usługi prawne, medyczne, psychologiczne, mediacyjne — wymóg szczególnego dbania o art. 9 RODO (dane wrażliwe). Transfer tych danych do USA bez DPF lub BCR to rażące naruszenie.

Ciekawostki

Max Schrems był studentem, kiedy zaczął pierwszą sprawę przeciw Facebook Ireland. Nie skończył studiów doktoranckich — aktywizm zabrał mu tyle czasu, że porzucił doktorat. Obecnie kieruje NOYB.
1222 stron danych — to ile Facebook wysłał Schremsowi w odpowiedzi na jego wniosek o dostęp w 2011. W tym dane, które rzekomo usunął lata wcześniej. To był bezpośredni impuls do jego aktywizmu.
Meta w raportach SEC groziła wyjściem z UE — wielokrotnie w 2022–2023 pisała “jeśli nie dostaniemy adequancy decision, możemy być zmuszeni wyłączyć Facebook i Instagram w UE”. Inwestorzy traktowali to jako blef; okazało się, że DPF pojawił się na czas, więc próby nie było.
DPC pierwotnie nie chciała kary — to jedno z najważniejszych odkryć procesu RODO. Pokazuje, że “one-stop-shop mechanism” (wiodący organ w kraju siedziby Big Tech) bez EROD byłby w praktyce fikcją enforcement.
Kara 1,2 mld € to ok. 0,8% globalnego obrotu Meta z 2022. Maksimum pod RODO to 4% — więc kara była znacząca, ale nie drakońska.
Edward Snowden tweetował po decyzji: “Ten werdykt jest bezpośrednim efektem dokumentów ujawnionych 10 lat temu. Kto twierdzi, że informacja nie ma mocy?”.
Polska ma ograniczone możliwości reakcji — użytkownicy polscy są chronieni przez RODO, ale UODO nie ma bezpośredniej jurysdykcji nad Meta Ireland. Może tylko zgłaszać zastrzeżenia do DPC przez mechanizm art. 60 RODO.
DPF (Data Privacy Framework, lipiec 2023) zawiera nowatorski mechanizm: Data Protection Review Court w Departamencie Sprawiedliwości USA, do którego osoby z UE mogą zgłaszać skargi w sprawie nadzoru. Schrems argumentuje, że ten sąd nie jest “niezależny w rozumieniu art. 47 Karty Praw Podstawowych UE”.
“Adequate country” w oczach UE: Andora, Argentyna, Kanada (tylko komercyjne), Wyspy Owcze, Gwernsey, Izrael, Wyspa Man, Jersey, Japonia, Nowa Zelandia, Korea Płd, Szwajcaria, Urugwaj, USA (z DPF). Jeszcze nie: Chiny, Indie, Rosja, Brazylia.
Paradoks “brain drain”: niektórzy komentatorzy argumentowali, że Schrems II i kara 1,2 mld € przyczynią się do ucieczki Big Tech z UE. W praktyce odwrotnie: Meta, Google, Microsoft zaczęli inwestować w infrastrukturę UE na dużą skalę.

Źródła

Data Protection Commission Ireland, “Data Protection Commission announces conclusion of inquiry into Meta Ireland”, 22 maja 2023. URL: https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland (dostęp: 2026-04-17)
TSUE, wyrok w sprawie C-311/18 Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (“Schrems II”), 16 lipca 2020. URL: https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=EN (dostęp: 2026-04-17)
European Data Protection Board, “Binding Decision 1/2023 on the dispute submitted by the Irish SA regarding Meta Platforms Ireland Limited and its Facebook service”, 13 kwietnia 2023. URL: https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12023-dispute-submitted_en (dostęp: 2026-04-17)
Mark Scott, “Meta fined record €1.2B over EU-US data flows”, POLITICO Europe, 22 maja 2023. URL: https://www.politico.eu/article/meta-facebook-fined-record-1-2-billion-euros-over-eu-us-data-flows/ (dostęp: 2026-04-17)
Komunikaty Mety na meta.com, 22 maja 2023 i 10 lipca 2023.
Komisja Europejska, “Adequacy decision for the EU-US Data Privacy Framework”, 10 lipca 2023. URL: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en (dostęp: 2026-04-17)
NOYB, “Schrems: 1.2 Billion Euro Fine Against Meta in EU-US Data Transfer Case”, 22 maja 2023. URL: https://noyb.eu/en/schrems-12-billion-euro-fine-against-meta-eu-us-data-transfer-case (dostęp: 2026-04-17)
TSUE, wyrok w sprawie C-362/14 Schrems v. Data Protection Commissioner (“Schrems I”), 6 października 2015.
Executive Order 14086 of October 7, 2022, “Enhancing Safeguards for United States Signals Intelligence Activities”, Federal Register. URL: https://www.federalregister.gov/documents/2022/10/14/2022-22531/enhancing-safeguards-for-united-states-signals-intelligence-activities (dostęp: 2026-04-17)
TSUE, wyrok w sprawie C-340/21 VB v. Natsionalna agentsia za prihodite (odszkodowanie za szkodę niematerialną z RODO), 14 grudnia 2023.
European Parliament, LIBE Committee hearings on EU-US Data Privacy Framework, 2023–2024.
“The Future of Data Flows in a Post-Schrems II World” — raport Max Planck Institute 2024.

Ostatnia aktualizacja: 2026-04-17 Karta w bazie: A07_kara_1_2mld.md