GDPR – foreløpig best for advokatstanden
LEDER: Boten til Whatsapp ble femdoblet, men først etter tre år.
Denne uken ble Whatsapp ilagt en bot på 225 millioner euro for brudd på kravene om transparens i GDPR. Størrelsen på boten ble fastsatt av EDPB (European Data Protection Board), og sakens kjerne er at WhatsApp har delt personopplysninger med morselskapet Facebook, uten at brukerne har fått tilstrekkelig informasjon om hva som har foregått. Bra, er det første som slår en. GDPR virker, og de som bryter regelverket får seg en skikkelig smekk. En litt nærmere titt på hva som har skjedd demper imidlertid begeistringen en smule. Reaksjonen på et GDPR-brudd er ikke akkurat like kontant som å få forenklet forelegg for å ha kjørt for fort.
I Whatsapp sitt tilfelle startet det irske datatilsynet en etterforskning i 2018. Grunnen til at Irland ble valgt, er prinsippet om at GDPR-saker skal føres i det landet der selskapet har sitt europeiske hovedkvarter. Innen it er det i mange tilfeller nettopp Irland. Det norske forbrukerrådet er blant de som har tatt til orde for at denne ordningen er uheldig, siden nasjonalstatene som mottar skatteinntektene ikke alltid er like hissige på å ilegge gebyrer. Tvert imot mener Forbrukerrådet at de nasjonale datatilsynene i flere tilfeller trenerer og i enkelte tilfeller direkte motarbeider søksmål.
I desember, over to år etter at etterforskningen startet, konkluderte det irske datatilsynet med en bot i størrelsesorden 30-50 millioner Euro. Slik det europeiske systemet er, må boten godkjennes av alle de nasjonale datatilsynene før den blir endelig, og i dette tilfellet var det åtte nasjoner som protesterte. Derfor måtte EDPB tre inn for å fastsette størrelsen på boten endelig. Det var den beslutningen som kom tidligere denne uka, og beløpet illustrerer godt forskjellen mellom nasjonale interesser og hva som er europeisk konsensus. Forholdet er i størrelsesorden 1:5. Personvernforkjemperen Max Schrems, har uttalt at saken viser at datatilsynene fremdeles er svært dysfunksjonelle.
Dommen betyr neppe at Whatsapp må punge ut med det aller første. De har allerede signalert at de kommer til å anke beslutningen. Her er de i godt selskap med Amazon, som tidligere i år ble bøtelagt svimlende 746 millioner Euro for sine GDPR-brudd. Ankesaken til Whatsapp skal føres for irske domstoler, noe som bringer fram minnene om den gamle MGP-slageren til Johnny Logan: ‘What’s another year’.
Betyr det i det minste at Whatsapp endrer måten de opererer på? Tja. Det er ikke sikkert det er nødvendig. Verdien av å akkumulere informasjon er enorm, og kjernen i saken handler om transparens. Kanskje blir enden på visa at det kommer et par sider til med advokatskrift nederst i dokumentet vi må klikke ok på når vi skal bruke tjenesten. Vi sier jo ok uansett.
GDPR er fremdeles i sin barndom, derfor er disse sakene så viktige. De vil legge føringer og rettspraksis for hvordan tilsvarende saker skal behandles framover, så reaksjonene forhåpentligvis blir mer kontante og endelige. At det blir faktiske reaksjoner, uten behov for 89 sider lange dommer fra et overnasjonalt organ for å bringe et tre års maraton til ende. Bøter som svir er det eneste som nytter hvis vi skal få varige endringer i hvordan personopplysninger akkumuleres og utnyttes, slik at GDPR kan komme vanlige forbrukere til nytte også. Ikke bare advokatstanden.