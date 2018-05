Allerede få timer efter at de nye, fælles og skrappe databeskyttelsesregler trådte i kraft i hele EU i fredags, faldt de første søgsmål for at overtræde reglerne. Både Facebook og Google blev sagsøgt.

Det er Facebooks onde ånd, den østrigske privatlivsforkæmper og jurist Max Schrems, som står bag. Gennem datatilsynene i Østrig, Belgien og Tyskland har han indleveret tre krav på hver 3,9 milliarder euro - 29 milliarder kroner - mod Facebook og to af de selskaber, som Facebook ejer, nemlig beskedtjenesten WhatsApp og billedtjenesten Instagram. Dertil kommer et krav på 3,7 milliarder euro mod Google, indleveret til det franske datatilsyn, for overtrædelse af databeskyttelsen på telefoner med Googles mobilstyresystem, Android. Sammenlagt er kravene på 115 milliarder krroner.

Luk faktaboks Udvid faktaboks Databeskyttelse: 25. maj strammes der op De fælles EU-databeskyttelsesregler (Persondataforordningen) skal give kontrol med, hvordan ens personlige data indsamles, lagres og bruges. De gælder alle i EU, også ikke-europæiske virksomheder.

Persondata er alt, der kan identificere en person: navn, adresse, e-mail, lokationsdata (GPS) og IP-adresser på computere og telefoner. Følsomme data som religiøs overbevisning, race, etnisk oprindelse, seksuel orientering, medlemskab af fagforening m.m. skal beskyttes særligt.

Man får ret til klar og forståelig indsigt i, hvilke oplysninger der gemmes, hvordan data gemmes og bruges, og hvem der har adgang til dem. Man kan få sine personlige oplysninger slettet, hvis der ikke længere er legitim grund til at gemme dem. Man har krav på at få rettet ukorrekte oplysninger.

Børn beskyttes mod, at deres personlige data indsamles til markedsføring og mod, at der oprettes brugerprofiler på dem.

Virksomheder, organisationer og myndigheder risikerer bøder på op til fire procent af den globale årsomsætning eller op til 20 mio. euro (hvad der måtte være højest). Brugerne skal tilvælge dataindsamlingen; det er ulovligt at bede dem om at fravælge. Samtidig indføres meldepligt inden for 72 timer, hvis data slipper ud og lander i forkerte hænder.

Datatilsynet i ét land kan træffe afgørelser, som dækker alle EU-landene. Det skal gøre det lettere for virksomheder og organisationer, som ikke længere skal have godkendelse i hvert land. Uenighed kan indbringes for det nystiftede Europæiske Databeskyttelsesråd, som skal sikre, at databeskyttelseslovgivningen anvendes på samme måde i hele EU. Th.

»Afpresning« og beskidte tricks

De nye databeskyttelsesregler - Persondataforordningen (eller på engelsk: »General data protection regulation«, GDPR) - trådte i kraft natten til 25. maj og ses som den største opstramning af databeskyttelsen, siden Internettet blev folkeeje. Reglerne gælder i samtlige - endnu - 28 EU-lande og kræver, at alle skal have fuld indsigt i, hvilke data der samles ind og gemmes om dem, hvad de bruges til, og hvem de deles med. Man får også ret til at få oplysninger rettet og i mange tilfælde slettet. Der kan nu vanke solide bøder på op til fire procent af hele årets omsætning på verdensplan eller op til 148 millioner kroner, hvad der nu måtte være størst.

Max Schrems har siden 2011 kæmpet med Facebook i retten for at få det børsnoterede, amerikanske selskab dømt for ulovligt at have overført hans personlige data til USA, der af EU ikke regnes for et datasikkert land. Hans indsats førte til, at EU-Domstolen underkendte en 15-årig praksis, som gav virksomheder lov til at lægge europæiske data i USA, hvis de på tro og love garanterede for datasikkerheden. I stedet har EU og USA forhandlet en ny og strammere aftale, »Privatlivsskjold« (på engelsk: »Privacy Shield«), på plads, men den har de europæiske datatilsyn flere ting at udsætte på.

Max Schrems' nye sager er rejst gennem den lobbygruppen None of Your Business (NOYB), som han er medstifter af. Den kritiserer Facebook for »afpresning« ved kun at give brugerne mulighed for at acceptere Facebooks nye regler og lade Facebook bruge deres data eller at lukke deres Facebook-konto. NOYB hævder, at Facebook har benyttet beskidte tricks ved at vise falske røde prikker, som skulle angive, at folk havde fået nye beskeder, og som de kun kunne se, hvis de sagde ja til Facebooks tilpassede brugerbetingelser.

Et opgør mod acceptér-eller-forsvind-reglerne

Klagen over Googles Android skyldes, at nye brugere af Android - som man skal være for at kunne bruge en telefon eller tablet med Android som styresystem - tvinges ind i Googles økosystem, hvilket ifølge NOYB er en overtrædelse af Persondataforordningen, som kræver, at brugerne skal give oplyst tilsagn, altså vide præcis, hvad de siger ja til.

De tre sager mod Facebook vil skulle behandles i samarbejde med det irske datatilsyn, fordi Facebook har europæisk hovedkontor i Irland. Google har godt nok også kontor i Dublin, men det juridiske sæde er i USA, hvorfor det franske datatilsyn selv vil håndtere sagen.

Både Google og Facebook fremhæver i udtalelser, at de gennem den seneste tid har gjort meget for at forbedre indsigten i, hvilke data de opbevarer om folk, og hvad de bruges til, og at dette arbejde ikke stopper som følge af de nye databeskyttelsesregler i Europa.

De europæiske datatilsyn har tilkendegivet, at de er klar til at vise muskler men ikke er »sanktionsmaskiner«.

»Dette (tvungent samtykke, hvor man ikke har et reelt valg, red.) er noget, om vi straks vil se på, og arbejdet er allerede i gang,« sagde direktøren for det irske datatilsyn, Helen Dixon, forleden.