Den europæiske domstols udtalelse styrker de nationale datatilsynsmænds rolle i Facebook-sagen

I dag (13. januar) offentliggjorde EU-Domstolens generaladvokat Bobek sin udtalelse om, hvorvidt en national databeskyttelsesmyndighed kan indlede en sag mod en virksomhed, i dette tilfælde Facebook, for ikke at beskytte brugernes data, selvom det er ikke den ledende tilsynsmyndighed (LSA).

Den belgiske databeskyttelsesmyndighed, (tidligere Privacy Commission), indledte en sag mod Facebook i 2015 for ulovlig indsamling af browsing-oplysninger uden gyldigt samtykke. Domstolen i Bruxelles fandt, at sagen var inden for dens jurisdiktion og beordrede Facebook til at indstille visse aktiviteter. Dette blev anfægtet af Facebook, som hævdede, at den nye "one-stop-shop"-mekanisme i GDPR (General Data Protection Regulation) betyder, at grænseoverskridende behandling skal håndteres af den ledende tilsynsmyndighed – i dette tilfælde de irske data Protection Commission, da det primære Facebook-hovedkvarter i Den Europæiske Union er i Irland (Facebook Ireland Ltd).

EU's generaladvokat Michal Bobek var enig i, at den ledende tilsynsførende har en generel kompetence over grænseoverskridende databehandling - og implicit har andre databeskyttelsesmyndigheder mere begrænset beføjelse til at indlede retssager, men han fandt også, at der var situationer, hvor nationale data beskyttelsesmyndigheder kunne gribe ind.

En af generaladvokatens (AG) hovedbekymringer så ud til at være faren for "underhåndhævelse" af GDPR. AG argumenterer for, at LSA bør ses mere som en primus inter pares, men at nationale tilsynsmyndigheder ikke giver afkald på deres evne til at handle ved en formodet overtrædelse i alle tilfælde. Den nuværende styring er afhængig af samarbejde for at sikre sammenhæng i anvendelsen.

Det er ikke svært at gennemskue hans bekymringer. Enhver, der har fulgt Max Schrems retssager i de sidste år i Irland mod Facebooks dataoverførsler mellem EU og USA, ville ikke være imponeret over tilsynsmyndighedens og det irske domstolssystems mindre end eksemplariske præstationer. Det var serendipitalt, at den irske databeskyttelseskommission, samme dag som denne udtalelse blev offentliggjort, endelig afgjorde sin 7.5 år lange kamp med Schrems.

AG ser den potentielle fare for, at virksomheder vælger deres primære etableringssted på grundlag af den nationale regulator, hvor lande med mindre aktive eller under-ressourcemæssige regulatorer foretrækkes, som en form for reguleringsarbitrage. Han tilføjer, at selvom konsistens var velkommen, var der en fare for, at "kollektivt ansvar kunne føre til kollektiv uansvarlighed og i sidste ende træghed".

reklame

Del denne artikel: