EU-reform databeskyttelse kan løfte mere end det leverer

Et kludetæppe af privatlivslove i EU, der går tilbage til 1995, da internettet var i sin vorden, blev kritiseret for at mangle tænder og fortolkes forskelligt i hele EU.

For at tackle disse mangler vedtog EU i sidste uge en gennemgribende revision af databeskyttelsesregler, som ville indføre en enkelt regelbog, bøder på op til 4 procent af en virksomheds globale omsætning og enklere håndhævelsessystem.

"En trinvis ændring af sanktionerne vil gøre privatlivets fred til et spørgsmål på bestyrelsesniveau," sagde Tanguy Van Overstraeten, advokat hos Linklaters. "Nogle virksomheder bliver nødt til at begynde at tage disse problemer meget mere seriøst."

Privatlivets fred har længe været et særligt følsomt emne i Europa, hvor påtrængende regeringsovervågning under og efter Anden Verdenskrig har gjort dets beskyttelse til en grundlæggende rettighed på linje med at garantere ytringsfriheden.

Den eksponentielle vækst i data - fra folks kreditkortvaner, opslag på sociale medier og bærbare fitnessenheder, der sporer deres søvn og bevægelser - har givet anledning til bekymring for, at enkeltpersoner ikke har tilstrækkelig kontrol over sådanne oplysninger.

De nye regler skulle være en velsignelse for webvirksomheder som Google, Facebook og Amazon, der driver forretning i hele Europa, og som i øjeblikket har at gøre med en række nationale tilsynsmyndigheder.

EU-retskommissær Vera Jourova sagde mandag (21. december), at en enkelt databeskyttelseslov vil spare virksomheder for omkring 2.3 milliarder euro (2.5 mia. USD) om året.

Kritikere af de nye tiltag stiller dog spørgsmålstegn ved, om tilsynsmyndighederne vil være i stand til at klare en øget arbejdsbyrde, og om det lovgivningsmæssige overlap reelt er blevet fjernet.

"Vi er bekymrede for, at investorer vil blive skræmt fra at investere i Europa og vil se uden for kontinentet for at finansiere den næste store ting inden for teknologi," siger Industry Coalition for Data Protection, hvis medlemmer omfatter Google, Facebook, Amazon og IBM.

Nationale bekymringer

Reglerne er hårdere på nogle indlysende måder.

Ikke alle privatlivsregulatorer har i øjeblikket beføjelse til at opkræve bøder. Når de gør det, er beløbene ofte sølle sammenlignet med de involverede virksomheders milliarder af dollars af indtægter.

En af de mest markante ændringer, som virksomhederne så frem til, var "one-stop-shoppen".

I henhold til den nye lov, som træder i kraft om to år, skal virksomheder, der opererer på tværs af EU, kun have at gøre med tilsynsmyndigheden i det land, hvor de har deres europæiske hovedkvarter.

Men det blev udvandet af medlemslande, som var ivrige efter at beskytte deres nationale tilsynsmyndigheders magt til at undersøge amerikanske teknologivirksomheder - som har en del af europæernes data - og sikre, at borgerne stadig kunne klage til deres lokale myndighed over en virksomhed, der er placeret et andet sted.

Det betyder, at enhver "bekymret" myndighed vil have beføjelse til at gøre indsigelse mod beslutningen truffet af den "ledende" myndighed - den, hvor virksomheden har sit EU-hovedkvarter.

Advokater siger, at definitionen af ​​en berørt myndighed er for bred, og for nogle virksomheder vil det ikke være klart, hvor deres vigtigste europæiske base er.

"Der er bekymring for, at triggeren for andre databeskyttelsesmyndigheder at blive involveret er for lav," siger William Long, partner hos advokatfirmaet Sidney Austin LLP.

Men forbrugergrupper siger, at det er vigtigt at sikre, at borgere stadig kan klage til deres lokale regulator, for at beskytte deres privatliv.

"Hvis den nærhed til borgeren er sikret på en måde, så jeg som forbruger nemt kan klage til min nationale tilsynsmyndighed... er det en sejr for borgerne," siger David Martin, seniorjurist hos BEUC, den europæiske forbrugerorganisation.

Advokater påpeger også, at de nye EU-regler overlader mange spørgsmål til de enkelte landes skøn, og der er stadig en risiko for, at tilsynsmyndigheder kan fortolke dem forskelligt.

"Det ville være dårligt, hvis et italiensk firma blev sanktioneret mere end et fransk for det samme," sagde Jourova i et interview.

Hvis der er uenighed mellem tilsynsmyndighederne, vil sagen blive henvist til et europæisk databeskyttelsesråd (EDPB), som endnu ikke er oprettet, for at træffe bindende afgørelser.

"Den mekanisme, der er fastlagt i databeskyttelsesforordningen, etablerer en hyperbureaukratisk procedure, der vil føre til mere kompleksitet og længere procedurer for retshåndhævelse," siger Johannes Caspar, leder af Hamborgs databeskyttelsesmyndighed i Tyskland, som har jurisdiktion over virksomheder, herunder Google og Facebook. ($1 = 0.9188 euro).