Max Schrems melder datatilsyn til politiet for utpressing

Spenningen mellom Max Schrems' personvernorganisasjon Noyb og det irske datatilsynet tilspisser seg etter at Noyb anmeldte tilsynet til politiet i Østerrike med anklager om utpressing.

Max Schrems melder datatilsyn til politiet for utpressing
– Det irske datatilsynet har åpenlyst presset oss. Vi skal holde munn i bytte mot at tilsynet skal respektere vår rett til å bli hørt, sier Max Schrems i personvernorganisasjonen Noyb. Foto: Geert Vanden Wijngaert/AP/NTB

Personvernorganisasjonen None of Your Business (Noyb) har anmeldt den irske datatilsynet (Irish Data Protection Commission – DPC)  til politiet i Østerrike.

Tilsynet har forsøkt å presse organisasjonens leder, personvernaktivist Max Schrems, til å signere en taushetserklæring i en aktuell sak med Facebook, skriver Noyb i en pressemelding.

«Det irske datatilsynet har åpenlyst presset oss. Vi skal holde munn i bytte mot at tilsynet skal respektere vår rett til å bli hørt. Vi har rapportert hendelsen til det østerrikske kontoret for påtale av korrupsjon (WWirtschafts- und Korruptionsstaatsanwaltschaft, red.anm.). Dette er et tilsyn som tydelig etterspør en «quid pro quo» for å gjøre jobben sin, noe som sannsynligvis utgjør bestikkelser i Østerrike», sier Max Schrems i meldingen.

Konflikten startet da Noyb i 2018 anla sak mot Facebook for ulovlig å ha innhentet samtykke til datainnsamling. Siden den gang har det vært den irske datatilsynets oppgave å behandle saken, ettersom teknologigigantens europeiske hovedkvarter ligger i Irland.

I forrige måned sendte tilsynet utkastet til sakens vedtak til Max Schrems, som publiserte dokumentet på Noybs nettsider.

Det falt ikke i god jord hos tilsynet, som ba Noyb fjerne filen. Noyb mener offentliggjøring både er lovlig og relevant for offentligheten, ettersom saken gjelder personopplysningene til millioner av Facebook-brukere. Derfor har tilsynets krav blitt avvist flere ganger, og utkastet ligger fortsatt på nett.

Krever taushetserklæring

Det irske tilsynet (DPC) sendte også utkastet til andre europeiske datatilsynsmyndigheter, slik at de hadde mulighet til å komme med innsigelser og kommentarer.

Disse vil tilsynet gjerne sende til Noyb, heter det i et brev publisert av personvernorganisasjonen:

«Det irske datatilsynet  anser det som både nødvendig og hensiktsmessig at innsigelsene deles med behandlingsansvarlig og klageren nå, slik at partene kan se og forstå problemstillingene som diskuteres i høringsprosessen.»

Men tilsynet vil kun sende materialet på én betingelse: Max Schrems må skrive under på at han ikke vil publisere informasjonen, som DPC har kategorisert som «konfidensiell». Konkret er disse:

  • All informasjon i innsigelsene
  • Utkastet til vedtak, inkludert endringer
  • Alle kommentarer fra behandlingsansvarlig og klager i forhold til innsigelsene
  • Alle skriftlige kommentarer fra det irske tilsynet som svar på innsigelsene
  • Alle fremtidige svar fra andre europeiske tilsynsmyndigheter
  • Alt materiale som er overført til European Data Protection Board (EDPB) når det gjelder å finne en løsning på uoverenstemmelser i henhold til artikkel 65 i GDPR.

Dette betyr også at Schrems må fjerne utkastet til vedtak i saken før han kan håpe å få se hvilke punkter de andre europeiske tilsynene har vært uenige med Irland.

«Vi er bekymret for at dersom du mottar kopier av materialet på den andre siden av dette brevet (oppført ovenfor, red.), vil du distribuere noe eller alt av materialet direkte eller indirekte utenfor grensene for beslutningsprosessen», skriver det irske tilsynet i brevet til personvernaktivisten og viser til at noyb fortsatt ikke har fjernet utkastet til vedtak fra sine nettsider.

«Under disse omstendighetene kan vi ikke dele innsigelsene og/eller relatert materiale med deg på dette tidspunktet», utdyper tilsynet.

Les også

Nekter å signere

Schrems har imidlertid gjentatte ganger nektet å signere noen taushetserklæring og understreker i pressemeldingen at DPC ikke har loven på sin side.

«Det irske tilsynet erkjenner at det har en juridisk forpliktelse til å konsultere oss, men nå utfører den en form for «prosessuell tvang». Retten til å bli hørt avhenger av at vi signerer en avtale til fordel for tilsynet og Facebook. Det er intet mindre enn en myndighet som beordrer deg til å gi opp ytringsfriheten din i bytte mot prosessuelle rettigheter», sier han i pressemeldingen.

DPC har ingen jurisdiksjon i Østerrike, og denne typen dokumenter kan ikke erklæres «fortrolige», noe det østerrikske datatilsynet også har bekreftet, forklarer han.

Ifølge det irske tilsynet har imidlertid det østerrikske tilsynet godtatt at verken den behandlingsansvarlige eller klageren har rett til å delta i konsultasjonsprosessen. Derfor har Max Schrems ingen juridisk rett til å se innvendingene fra de andre europeiske tilsynsmyndighetene, understreker DPC overfor det danske nettstedet Version 2.

Han har heller ikke rett til å få innsyn i utkastet til vedtak, utdyper tilsynet, men mener likevel det er hensiktsmessig at partene fortløpende får innsyn i prosessen.

Det krever imidlertid at partene godtar å hemmeligholde informasjonen, for ellers er ikke prosessen rettferdig verken for den behandlingsansvarlige eller klageren:

«Det ville være urettferdig for en part i et tilsyns etterforskning (ikke bare det irske tilsynet) hvis materialet de leverer til tilsynet og tilsynets henvendelser og korrespondanse med dem skulle bli offentliggjort før en beslutning er fattet», skriver DPC.

Professor: Et betydelig forvaltningsproblem

Selv om det irske tilsynet insisterer på at en erklæring om konfidensialitet vil gjøre prosessen mer rettferdig, er de på glid, sier TJ McIntyre, professor og førsteamanuensis i IT-lov, nettkriminalitet og sivile rettigheter ved University College Dublin.

Argumentasjonen fra det irske datatilsynet virker utrolig svak, skriver han i en e-post til Version 2 og utdyper:

«Hele episoden viser et betydelig forvaltningsproblem.»

Det er første gang i det irske tilsynets 30 år lange historie at en slik ordre er gitt, påpeker professoren. Dersom de mener at en type konfidensialitet er nødvendig for etterforskningen, hadde de mulighet til å be om lovgivning for dette for tre år siden, da en reform av lovverket på dette området ble gjennomført, ifølge TJ McIntyre.

Irland: Det er opp til Schrems

Selv om DPC insisterer på at verken Facebook eller Max Schrems har en juridisk rett til å få tilgang til materialet, krever irsk prosesslov at tilsynet gjør et forsøk på å gi den behandlingsansvarlige og klageren innsyn i innsigelsene og mulighet til å kommentere, ifølge DPC.

«Hva som skjer videre, avhenger av en rekke faktorer, inkludert utfallet av høringsprosessen mellom det irske datatilsynet og de andre europeiske tilsynsmyndighetene», poengterer DPC og legger til:

«Men også om Schrems opprettholder sin nåværende holdning om at han skal gis tilgang til alt materiale på bakgrunn av at det utelukkende er opp til Schrems å bestemme hva (om noe) han har lov til å publisere og bruke, og opprettholder retten til å endre sin stilling, kun på hans premisser, og når som helst han velger å gjøre det», skriver tilsynet.

Denne artikkelen ble først publisert på Version 2.

Les også

 

 

 

;