Europeiska domstolens yttrande stärker de nationella datatillsynsmannens roll i Facebook-ärendet

I dag (13 januari) offentliggjorde EU-domstolens generaladvokat Bobek sitt yttrande om huruvida en nationell dataskyddsmyndighet kan inleda förfaranden mot ett företag, i detta fall Facebook, för att ha underlåtit att skydda användarnas data, även om det är inte den ledande tillsynsmyndigheten (LSA).

Den belgiska dataskyddsmyndigheten, (tidigare Privacy Commission), inledde förfaranden mot Facebook 2015 för olaglig insamling av webbläsarinformation utan giltigt medgivande. Brysseldomstolen fann att fallet låg inom dess jurisdiktion och beordrade Facebook att upphöra med vissa aktiviteter. Detta ifrågasattes av Facebook, som hävdade att den nya "one-stop-shop"-mekanismen i GDPR (General Data Protection Regulation) innebär att gränsöverskridande behandling bör hanteras av den ledande tillsynsmyndigheten – i det här fallet irländska data Protection Commission, eftersom Facebooks huvudkontor i Europeiska unionen ligger i Irland (Facebook Ireland Ltd).

EU:s generaladvokat Michal Bobek instämde i att den ledande tillsynsmannen faktiskt har en allmän behörighet när det gäller gränsöverskridande databehandling - och att andra dataskyddsmyndigheter underförstått har mer begränsad befogenhet att inleda rättsliga förfaranden, men han fann också att det fanns situationer där nationella uppgifter skyddsmyndigheter skulle kunna ingripa.

En av generaladvokatens (AG) huvudsakliga bekymmer verkade vara faran för "undertillämpning" av GDPR. AG hävdar att LSA bör ses mer som en primus inter pares, men att nationella tillsynsmyndigheter inte avsäger sig sin förmåga att agera vid en misstänkt överträdelse i varje instans. Den nuvarande styrningen bygger på samarbete för att säkerställa konsekvens i tillämpningen.

Det är inte svårt att förstå hans oro. Alla som har följt Max Schrems rättstvister under de senaste åren i Irland mot Facebooks dataöverföringar mellan EU och USA skulle inte bli imponerad av tillsynsmannens och det irländska domstolssystemets mindre än exemplariska prestation. Det var slumpmässigt att den irländska dataskyddskommissionen, samma dag som detta yttrande publicerades, slutligen avgjorde sin 7.5 år långa kamp med Schrems.

AG ser den potentiella faran med att företag väljer sin huvudsakliga etableringsort utifrån den nationella tillsynsmyndigheten, där länder med mindre aktiva eller under-resurser tillsynsmyndigheter föredras, som en typ av tillsynsarbitrage. Han tillägger att även om konsekvens skulle välkomnas fanns det en fara att "kollektivt ansvar skulle kunna leda till kollektivt ansvarslöshet och, i slutändan, tröghet".

Annons

Dela den här artikeln: