Det Europæiske Databeskyttelsesråd (EDPB) er kommet med årsberetningen for 2023, hvor EU-myndigheden gør status over de vigtigste GDPR-øjeblikke, der fandt sted i 2023.
Det første, der fremhæves, er fra 28. februar 2023, hvor EDPB var med til udarbejdelsen af udkastet til en beslutning vedrørerende EU-US Data Privacy Framework (DPF) – altså aftalen, der igen gjorde det muligt at overføre data mellem EU og USA under visse betingelser.
Det næste er fra 5. marts 2023, hvor EDPB lancerede en indsats for at få evalueret og optimeret arbejdet for DPO’er i EU. Denne undersøgelse involverede medlemslandenes lokale databeskyttelsesmyndigheder, som udsendte spørgeskemaer til DPO’er.
Dernæst lancerede EDPB sin databeskyttelsesguide til små og mellemstore virksomheder. Dette skete 27. april sidste år.
Meta i problemer
I april skete det også, at EDPB havde truffet en bindende afgørelse i sagen mellem det irske datatilsyn og Facebook-ejeren Meta, denne afgørelse var dog ikke offentliggjort, før det irske datatilsyn traf en afgørelse på baggrund af EDPB’s grundlag.
22. maj førte afgørelsen til, at Meta modtog en bøde på 1,2 milliarder euro – svarende til omkring ni milliarder kroner.
Dette skete, fordi Metas grundlag for at overføre data mellem EU og USA – som var en juridisk metode kaldet standardkontrakter ikke var tilstrækkeligt lovgrundlag. Dette fik Meta til at meddele, at selskabets tjenester som Facebook og Instagram var i fare for ikke at kunne fortsætte i EU.
"Fortsat usikkerhed om dataoverførselsmekanismer mellem EU og USA udgør en trussel mod vores evne til at betjene europæiske forbrugere og drive vores forretning i Europa," udtalte Metas VP for Public Policy, Markus Reinisch i en meddelelse.
Det var så tæt på, at Meta måtte informere sine aktionærer i en fondsbørsmeddelelse:
"Hvis en ny transatlantisk dataoverførselsramme ikke vedtages, og vi ikke er i stand til at fortsætte med at stole på SCC'er eller stole på andre alternative metoder til dataoverførsel fra Europa til USA, vil vi sandsynligvis ikke være i stand til at tilbyde en række af vores vigtigste produkter og tjenester, inklusive Facebook og Instagram, i Europa," meddelte Meta i en fondsbørsmeddelelse.
Meta og andre tech-giganter blev dog reddet på stregen, da EU og USA i juli blev enige om dataoverførselsaftalen DPF, som gjorde det lovligt at overføre data fra EU til USA, hvis den gældende virksomhed blev optaget på en godkendelsesliste. Derved kunne Meta og andre fortsætte med overførslerne.
EU’s myndigheder var dog ikke færdige med Meta en bindende afgørelse førte 27. oktober 2023 til, at Metas praksis for behandling af data til annoncering blev erklæret ulovlig.
Denne afgørelse førte til, at Meta måtte tilbyde brugere at vælge mellem en betalingsløsning eller fortsætte med at få reklamer.
Denne sag er fortsat ind i 2024. For få dage siden meddelte EDPB, at denne type valgmuligheder for brugerne, bør tilbyde et ’reelt valg’, og at Metas løsning ikke har været tilstrækkelig ifølge EU’s regler.
Ny leder og TikTok-bøde
Et andet highlight var da EDPB fik en ny forperson 25. maj. Det var Anu Talus, der blev valgt til jobbet. Hun sidder fortsat på posten. Irene Loizidou Nikolaidou blev samtidig valgt til viceforperson.
Efter sommeren træf EDPB endnu en bindende afgørelse i en sag om en tech-gigant – endnu engang foregik det i Irland.
Den bindende afgørelse førte 15. september til, at TikTok modtog en bøde fra det irske datatilsyn på 345 millioner euro – svarende til 2,5 milliarder kroner. Det skete, da TikTok havde behandlet data fra brugere mellem 13 og 17 år.
Blot få dage senere 19. september tilsluttede EDPB sig arbejdet med at gennemgå GDPR-lovgivningen i EU – et arbejde, der fortsat er i gang. EDPB kom med sit bidrag til EU-Kommissionens rapport i december.
"2023 var endnu et transformativt år på EDPB, fyldt med bemærkelsesværdige resultater. Vi har bygget et imponerende kompendium af retningslinjer, skabt nye samarbejdsmetoder for databeskyttelsesmyndighederne og vedtaget væsentlige bindende beslutninger, som vil være med til at forme digitale tjenester," udtaler Anu Talus i en meddelelse i forbindelse med årsrapporten og fortsætter:
"Vi har også arbejdet hårdt for at øge bevidstheden om GDPR på europæisk og internationalt plan, så enkeltpersoner kender deres rettigheder og udøver dem, og at virksomheder, selv små, kan forstå, hvordan de overholder deres juridiske pligter."