Uenige datatilsyn i stor Twitter-sag: Afgørelse i Databeskyttelsesrådet var eneste løsning

Illustration: TeroVesalainen/Bigstock
Det Europæiske Databeskyttelsesråd har for første gang truffet en såkaldt artikel 65-afgørelse i en verserende GDPR-sag mod Twitter, der har hovedsæde i Irland. Det var den eneste løsning, fortæller irsk databeskyttelseskommissær, for de europæiske tilsyn »gjorde fuldstændig modsigende indsigelser«.

For første gang nogensinde har det Europæiske Databeskyttelsesråd truffet en artikel 65-afgørelse efter uenigheder mellem Irland og de andre 26 europæiske datatilsyn om en GDPR-sag mod Twitter.

Twitter opdagede først et brud på persondatasikkerheden i januar sidste år, efter en bug i virksomhedens system mellem 2014 og 2019 gjorde, at Android-brugere, som havde valgt kun at tweete privat, alligevel fik offentliggjort deres tweets til andre, skriver Techchrunch.

Men Twitter havde ikke et fuldt overblik over, hvor mange konti der var omfattet af bruddet og kunne derfor ikke direkte informere alle berørte brugere. Efterfølgende meldte de bruddet til det irske datatilsyn, for virksomheden har hovedsæde i Irland.

Det er dog ikke kun irske borgere, som har oplevet konsekvenser af Twitter-bruddet. Også brugere i andre lande, herunder Danmark, har fået offentliggjort tweets uden at give tilladelse, og derfor startede et internationalt samarbejde om, hvilken sanktion Twitter skal have.

Det er nemlig en regel i GDPR (Artikel 60), at alle lande, som er påvirket af en GDPR-overtrædelse, skal have lov til at få indflydelse på afgørelsen.

Selvom flere lande skal være enige om beslutningen, så er det Irlands datatilsyn, der har førertrøjen på og i første omgang behandler Twitter-sagen som hvilken som helst anden sag om persondatabrud. Efter tilsynet havde formuleret et udkast til en afgørelse, delte de det i foråret med alle andre datatilsyn i EU.

»På dette tidspunkt kunne alle de andre berørte datatilsyn kigge det (Irlands udkast til en afgørelse, red.) igennem, og så vendte de tilbage til os med rimelige og relevante indvendinger,« fortæller Graham Doyle, databeskyttelseskommissær for det irske datatilsyn, til Version2.

Og der var en del indvendinger, som ifølge Artikel 60 netop skal være »relevante og rimelige« og forelægges senest fire uger efter, tilsynene har modtaget udkastet.

»Vi skal så forsøge at finde en løsning sammen med de andre datatilsyn,« tilføjer Graham Doyle.

Irsk databeskyttelseskommissær: Umuligt at løse indvendinger

Graham Doyle, databeskyttelseskommissær i det irske datatilsyn. Illustration: Data Protection Commission Ireland

Men det irske tilsyn kunne ikke nå til enighed med de andre, skriver Det Europæiske Databeskyttelsesråd på deres hjemmeside:

»Den ledende tilsynsmyndighed (det irske datatilsyn, red.) afviste indvendingerne og/eller betragtede dem som ikke ‘relevante og rimelige’.«

Da de ikke kunne blive enige, trådte GDPR’s artikel 65 i kraft, der siger, at hvis ikke datatilsynene indbyrdes kan finde en løsning, så må Det Europæiske Databeskyttelsesråd træde til.

Og ifølge Graham Doyle var Artikel 65 ikke til at komme udenom i denne sag. Det var nemlig ikke én fælles uenighed, de andre datatilsyn udtrykte.

»I forhold til nogle af indvendingerne, så ville det have været umuligt at løse dem, for i nogle tilfælde havde vi to forskellige datatilsyn, der gjorde fuldstændig modsigende indsigelser,« siger han og tilføjer:

»Der var ingen måde, hvorpå vi kunne løse problemerne for begge - hvis man ændrede standpunkt ville man løse problemet for det ene part, men ikke den anden.«

Han understreger også, at det ikke blot er det irske tilsyns foreslag til sanktionen mod Twitter, som de andre datatilsyn kan komme med indvendinger til. Det kan også være selve praksissen for sagsbehandlingen.

Selvom der er flere forskellige uenigheder blandt de europæiske datatilsyn enten om sanktioner eller sagsbehandlingspraksis - præcist hvilke indvendinger, der har været, er endnu ikke offentliggjort - så bestræber det danske og andre landes tilsyn sig på en harmonisering i praksis, så sanktionerne i sidste ende er ens i sammenlignelige sager, uanset hvilket land GDPR-overtrædelsen er foregået i, fortalte Cristina Angela Gulisano, direktør i Datatilsynet, til Version2 i sidste måned.

Artikel 65 er netop til »for at sikre en korrekt og konsekvent anvendelse af denne forordning i individuelle tilfælde«, står der i GDPR-teksten. Men artiklen træder kun i kraft i sager, hvor borgere i flere forskellige EU-lande er berørt af en forseelse.

Twitter-sagen endte hos Det Europæiske Databeskyttelsesråd, hvor ledere fra alle EU-landes datatilsyn har diskuteret sig frem til en fælles afgørelse, som minimum to tredjedele har stemt for. Det antal kan dog sagtens være større.

Nu er det irske datatilsyn forpligtet af afgørelsen. Inden for den næste måned skal tilsynet færdiggøre og sende den til Twitter, hvorefter flere detaljer i sagen vil blive offentliggjort, fortæller Graham Doyle.

Ifølge ham er det første gang, at alle 27 EU-lande har samarbejdet omkring en enkelt GDPR-sag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere