Facebook står overfor en mulig flodbølge af GDPR-sager, efter EU-domstolen tirsdag har afgjort, at Facebook skal stå til ansvar for håndtering data i hvert enkelt EU-land.
Sådan har det nemlig ikke været hidtil, hvor Facebook har fastholdt, at selskabet alene skal stå til ansvar overfor datatilsynet i Irland, hvor Facebook har sit europæiske hovedkvarter.
Men den går ikke, lyder det fra EU-domstolen i afgørelsen.
Her fastslår domstolen, at datatilsyn i alle EU-lande kan håndhæve GDPR overfor et selskab, såfremt visse betingelser er opfyldt.
Dommen udspringer af en nu seks år gammel konflikt mellem Facebook og det belgiske datatilsyn, der i 2015 ville have Facebook til at stoppe med at anvende cookies og andre værktøjer til fra det skjulte at tracke de belgiske brugere.
Dette har Facebook gentagne gange afvist med henvisning til, at Facebook ikke stod til ansvar overfor de belgiske myndigheder, men alene de irske.
Ifølge en række medier er det irske datatilsyn, Irish Data Protection Commission, notorisk underbemandet og har gennem årene været udsat for en del kritik for ikke at håndhæve GDPR hårdt nok over de mange tech-kæmper, der har europæisk hovedkvarter i landet.
De søgte mod Irland for en del år siden, hvor Irland lokkede med meget lav selskabsskat.
I dag har en lang række af de amerikanske it-selskaber således hovedkvarter i Irland. De tæller selskaber som Google, Apple, Microsoft, Dell, Dropbox, eBay, Facebook, LinkedIn, Oracle, PayPal, Twitter, Uber og Airbnb.
Dommen fra EU tirsdag betyder altså, at det ikke længere er det irske datatilsyns opgave alene at beskytte rettighederne for en halv milliard europæiske Facebook-brugere.
Du finder hele afgørelsen fra EU-domstolen her