Den europeiske domstolens mening styrker nasjonale datatilsynsmanns rolle i Facebook-saken

I dag (13. januar) offentliggjorde EU-domstolen (EU-domstolen) EU-advokat Bobek sin oppfatning om hvorvidt en nasjonal databeskyttelsesmyndighet kan starte en prosedyre mot et selskap, i dette tilfellet Facebook, for ikke å beskytte brukernes data, selv om det er ikke den ledende tilsynsmyndigheten (LSA).

Den belgiske personvernmyndigheten, (tidligere personvernkommisjon), startet forhandlinger mot Facebook i 2015 for ulovlig innsamling av nettleserinformasjon uten gyldig samtykke. Retten i Brussel fant at saken var innenfor dens jurisdiksjon og beordret Facebook til å stanse visse aktiviteter. Dette ble utfordret av Facebook, som hevdet at den nye "one-stop-shop" -mekanismen i GDPR (General Data Protection Regulation) betyr at grenseoverskridende behandling skal behandles av den ledende tilsynsmyndigheten - i dette tilfellet Irish Data Protection Commission, som den viktigste hovedkontoret for Facebook i EU er i Irland (Facebook Ireland Ltd).

EUs advokatgeneral Michal Bobek var enig i at hovedveilederen har en generell kompetanse over grenseoverskridende databehandling - og implisitt har andre databeskyttelsesmyndigheter mer begrenset makt til å starte rettssaker, men han fant også at det var situasjoner der nasjonale data vernemyndigheter kan gripe inn.

En av generaladvokatens (AG) viktigste bekymringer syntes å være faren for "underhåndheving" av GDPR. AG argumenterer for at LSA bør sees mer på som en primus inter pares, men at nasjonale tilsynsmenn ikke fraskriver seg evnen til å handle i en mistenkt overtredelse i alle tilfeller. Nåværende styring er avhengig av samarbeid for å sikre konsistens i applikasjonen.

Det er ikke vanskelig å forstå hans bekymringer. Alle som har fulgt søksmålene til Max Schrems de siste årene i Irland mot Facebooks dataoverføringer mellom EU og USA, ville ikke bli imponert over den mindre enn eksemplariske ytelsen til veilederen og det irske rettssystemet. Det var serendipitous at den irske personvernkommisjonen samme dag som denne uttalelsen ble offentliggjort, endelig avgjorde sin 7.5 år lange kamp med Schrems.

AG ser den potensielle faren for at selskaper velger sitt viktigste etableringssted på grunnlag av den nasjonale regulatoren, og land med mindre aktive eller underressurser regulatorer foretrekkes, som en type reguleringsarbitrage. Han legger til at selv om konsistens ønsket velkommen, var det en fare for at "kollektivt ansvar kunne føre til kollektivt uansvarlighet og til slutt treghet".

Annonse

Del denne artikkelen: