Det Europæiske Databeskyttelsesråd har for første gang truffet en såkaldt artikel 65-afgørelse i en verserende GDPR-sag mod Twitter, der har hovedsæde i Irland. Det var den eneste løsning, fortæller irsk databeskyttelseskommissær, for de europæiske tilsyn »gjorde fuldstændig modsigende indsigelser«.
Twitter opdagede først et brud på persondatasikkerheden i januar sidste år, efter en bug i virksomhedens system mellem 2014 og 2019 gjorde, at Android-brugere, som havde valgt kun at tweete privat, alligevel fik offentliggjort deres tweets til andre, skriver Techchrunch.
Men Twitter havde ikke et fuldt overblik over, hvor mange konti der var omfattet af bruddet og kunne derfor ikke direkte informere alle berørte brugere. Efterfølgende meldte de bruddet til det irske datatilsyn, for virksomheden har hovedsæde i Irland.
Det er dog ikke kun irske borgere, som har oplevet konsekvenser af Twitter-bruddet. Også brugere i andre lande, herunder Danmark, har fået offentliggjort tweets uden at give tilladelse, og derfor startede et internationalt samarbejde om, hvilken sanktion Twitter skal have.
Artiklen fortsætter efter annoncen
Det er nemlig en regel i GDPR (Artikel 60), at alle lande, som er påvirket af en GDPR-overtrædelse, skal have lov til at få indflydelse på afgørelsen.
Selvom flere lande skal være enige om beslutningen, så er det Irlands datatilsyn, der har førertrøjen på og i første omgang behandler Twitter-sagen som hvilken som helst anden sag om persondatabrud. Efter tilsynet havde formuleret et udkast til en afgørelse, delte de det i foråret med alle andre datatilsyn i EU.
»På dette tidspunkt kunne alle de andre berørte datatilsyn kigge det (Irlands udkast til en afgørelse, red.) igennem, og så vendte de tilbage til os med rimelige og relevante indvendinger,« fortæller Graham Doyle, databeskyttelseskommissær for det irske datatilsyn, til Version2.
Og der var en del indvendinger, som ifølge Artikel 60 netop skal være »relevante og rimelige« og forelægges senest fire uger efter, tilsynene har modtaget udkastet.
»Den ledende tilsynsmyndighed (det irske datatilsyn, red.) afviste indvendingerne og/eller betragtede dem som ikke ‘relevante og rimelige’.«
Da de ikke kunne blive enige, trådte GDPR’s artikel 65 i kraft, der siger, at hvis ikke datatilsynene indbyrdes kan finde en løsning, så må Det Europæiske Databeskyttelsesråd træde til.
Og ifølge Graham Doyle var Artikel 65 ikke til at komme udenom i denne sag. Det var nemlig ikke én fælles uenighed, de andre datatilsyn udtrykte.
»I forhold til nogle af indvendingerne, så ville det have været umuligt at løse dem, for i nogle tilfælde havde vi to forskellige datatilsyn, der gjorde fuldstændig modsigende indsigelser,« siger han og tilføjer:
»Der var ingen måde, hvorpå vi kunne løse problemerne for begge - hvis man ændrede standpunkt ville man løse problemet for det ene part, men ikke den anden.«
Han understreger også, at det ikke blot er det irske tilsyns foreslag til sanktionen mod Twitter, som de andre datatilsyn kan komme med indvendinger til. Det kan også være selve praksissen for sagsbehandlingen.
Artiklen fortsætter efter annoncen
Selvom der er flere forskellige uenigheder blandt de europæiske datatilsyn enten om sanktioner eller sagsbehandlingspraksis - præcist hvilke indvendinger, der har været, er endnu ikke offentliggjort - så bestræber det danske og andre landes tilsyn sig på en harmonisering i praksis, så sanktionerne i sidste ende er ens i sammenlignelige sager, uanset hvilket land GDPR-overtrædelsen er foregået i, fortalte Cristina Angela Gulisano, direktør i Datatilsynet, til Version2 i sidste måned.
Artikel 65 er netop til »for at sikre en korrekt og konsekvent anvendelse af denne forordning i individuelle tilfælde«, står der i GDPR-teksten. Men artiklen træder kun i kraft i sager, hvor borgere i flere forskellige EU-lande er berørt af en forseelse.
Twitter-sagen endte hos Det Europæiske Databeskyttelsesråd, hvor ledere fra alle EU-landes datatilsyn har diskuteret sig frem til en fælles afgørelse, som minimum to tredjedele har stemt for. Det antal kan dog sagtens være større.
Nu er det irske datatilsyn forpligtet af afgørelsen. Inden for den næste måned skal tilsynet færdiggøre og sende den til Twitter, hvorefter flere detaljer i sagen vil blive offentliggjort, fortæller Graham Doyle.
Ifølge ham er det første gang, at alle 27 EU-lande har samarbejdet omkring en enkelt GDPR-sag.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
