Decyzja DPC wynika ze śledztwa rozpoczętego w sierpniu 2020 roku, które wykazało, że transfer danych przez Meta do jej amerykańskiego odpowiednika, Meta Platforms, Inc., był przeprowadzany z naruszeniem RODO. Mimo wykorzystania standardowych klauzul umownych Komisji Europejskiej z 2021 roku (SKU), DPC uznała, że zastosowane środki nie były wystarczające, aby zminimalizować ryzyko dla podstawowych praw i wolności osób, których dane dotyczyły.
Komisja stwierdziła, że prawo amerykańskie nie zapewnia poziomu ochrony równoważnego z prawem unijnym i żadne z SKU nie mogą rekompensować tej niewystarczającej ochrony. Zasugerowała też, że Meta nie może polegać na wyjątkach przewidzianych w artykule 49(1) RODO podczas dokonywania międzynarodowych transferów danych.
W odpowiedzi na decyzję DPC Meta została ukarana grzywną 1,2 miliarda euro. Ponadto DPC nakazała Meta zaprzestanie nielegalnego przetwarzania, w tym przechowywania, danych osobowych użytkowników z EOG w USA, które były przekazywane w naruszeniu RODO oraz zawieszenie przyszłych transferów danych do USA w ciągu pięciu miesięcy od daty powiadomienia o decyzji DPC.
Meta zadeklarowała, że odwoła się od decyzji DPC.