Meta bötfällt för dataöverträdelser: Är det bara en symbolisk åtgärd eller verklig förändring?

Fredric Wallsten

CEO, Safespring

GDPR och Cyber Security Act är bara två av en rad regulatoriska åtgärder som formar EU:s Digital Decade Strategy med målet om att skapa en fri, trygg, inkluderande och hållbar inre marknad med människan i centrum 2. Det är ambitiösa mål 3 där stora förändringar kommer bli nödvändiga inom både kompetens, kompetensförsörjning, och genom att styra mot de strategiska målen genom regleringar och lagkrav.

De senaste dagarna har irländska myndigheten för dataskydd givit Facebook böter för att ha överfört europeiska medborgares personuppgifter till amerikanska servrar i strid mot europeisk lag. Som alla andra amerikanska företag lyder Facebook framför allt under amerikansk lag, och kan därför ibland tvingas lämna ut uppgifter till amerikanska myndigheter i strid mot europeisk lag och europeiska medborgares rättigheter. Boten understryker hur dataskyddsmyndigheter försöker ta både sitt tillsynsansvar och gemensamt samarbete på allt större allvar.

Reaktioner och påtryckningar

Fortfarande finns frågetecken. Irländska dataskyddsmyndigheten har inte direkt varit entusiastisk över att behöva bötfälla amerikanska företag då Irland har fått både skatteintäkter och arbetstillfällen av att locka till sig de europeiska huvudkontoren för särskilt IT-företag från USA. Men påtryckningar från andra EU-länders dataskyddsmyndigheter har visat sig fungera. Storleken på boten är mindre än vad Facebook befarade vid budgetgenomgången med aktieägarna för en månad sedan. Och många vändor med överklaganden i nationella och europeiska domstolar kan vara att vänta innan Meta faktiskt behöver betala pengar. 4 Specialistpressen är knappast entusiastisk över någon omedelbar dataskyddsstärkande effekt för enskilda, inte heller den svenska.5 Men det är trots alla invändningar ett principiellt viktigt beslut och det borde ha kommit tidigare.

Vikten av europeisk lag och suveränitet

Inom de marknadssegment där vi normalt verkar, forskningsstödjande tjänster och myndighetssystem, är det ännu viktigare att den lokala lagstiftningen gäller än vad det är för sociala medier som Facebook. Svenska medborgares relationer med svenska utbildningsinstitutioner och myndigheter ska regleras i svensk rätt, och en medborgare ska kunna förvänta sig att deras demokratiska deltagande också påverkar styret över villkoren för dessa relationer. När personuppgifter överförs till andra länder, som USA, är det inte klart att detta fortfarande håller. När personuppgifter överförs till USA blir det i stället amerikanska lagstiftares vilja den viktigaste viljan för att bestämma hur maktrelationerna ska se ut.

Även då en sittande amerikansk president utfärdar föreskrifter, så kallade executive orders, är detta temporära och svaga garantier som gör svenska medborgares relationer med svenska myndigheter avhängiga det senaste valresultatet i USA. Och då inte bara för externa faktorer, så som det geopolitiska dagsläget, utan för interna omständigheter, som vilka som får delta i interaktioner med socialtjänsten, skolan, vården och marknadstillsynen.

Facebook kan och kommer att förhala vissa städåtgärder i de egna serverhallarna om ett nytt dataöverföringsbeslut fattas av EU-kommissionen i oktober i höst. Men det är oklart att EU-domstolen kommer upprätthålla ett nytt dataöverföringsbeslut om suveräniteten i europeisk lagstiftning inte respekteras. EU-domstolen måste följa europeisk lagstiftning i alla sina beslut, och europeisk lagstiftning medger inte att europeiska medborgares möjligheter att utöva sina rättigheter är avhängiga vem som vinner amerikanska presidentval.

Källor och länkar

1. EUobserver: Meta’s €1.2bn fine — a GDPR win, inconsequential for user privacy?
2. EU Kommisionen: EU:s digitala decennium: digitala mål för 2030
3. EU Kommisionen: Framtiden och EU:s digitala kompass inför 2030
4. Politico: Record Meta fine masks Europe’s privacy struggle
5. Dagens Industri: Meta får rekordstor EU-bot för användardatabrott