Vad händer när dataskyddsmyndigheten i ett EU-land bråkar med European Data Protection Board (EDPB)? Denna fråga ställdes på sin spets i ett ärende där den irländska dataskyddsmyndigheten (DPC) utredde Meta, företaget bakom Facebook, Instagram och WhatsApp, baserat på klagomål som inkom 2018.

År 2023 beordrade EDPB, DPC att vidta vissa åtgärder, vilket DPC tidigare hade vägrat att göra. DPC hade redan undersökt olika klagomål. DPC hade dock ursprungligen buntat ihop flera fall där Meta påståtts överträda GDPR. EDPB instruerade därefter DPC att undersöka varje enskilt klagomål separat.

DPC tog ärendet till Europeiska unionens tribunal och ifrågasatte EDPB:s auktoritet. Den 29 januari 2025 slog domstolen fast att EDPB kan kräva att den ansvariga tillsynsmyndigheten fortsätter att utreda överträdelser av GDPR utan att det inkräktar på en medlemsstats dataskyddsmyndighets självständighet. DPC kan överklaga denna dom till Europeiska unionens domstol.

I januari 2023 rapporterade Forum för Dataskydd om spänningarna mellan DPC och European Data Protection Board. Upprinnelsen till fallet är att Meta inkluderade visning av individualiserad reklam i användaravtalet. Det innebar att användarna tvingades acceptera att Meta visade dem annonser baserade på deras interaktion med Facebook och Instagram för att överhuvudtaget kunna använda tjänsterna. DPC hävdade därefter att EDPB hade överskridit sina befogenheter och beslutade därför att ta ärendet till domstol. 

IAPP rapporterar att EDPB är glada över att domstolen avvisade DPC:s överklagande. De uppmanar EU:s institutioner att se till att de pågående samtalen om EU-gemensamma regler för hantering av gränsöverskridande GDPR-klagomål följer domstolens beslut. När IAPP kontaktade DPC för en kommentar, svarade myndigheten att de fortfarande analyserar domen.

Den digitala rättighetsorganisationen Noyb (none of your business) har i ett offentligt uttalande kritiserat DPC. Noyb menar att DPC har fokuserat på bråka med EDPB snarare än att upprätthålla dataskyddsreglerna.

Max Schrems, ordförande för Noyb, konstaterar att detta fall har pågått i över sex år, med DPC som avstår från att vidta åtgärder, vilket han menar gynnar amerikanska storföretag. Noyb välkomnar domstolens beslut att avslå DPC:s yrkanden, men säger att detta innebär  att ärendet måste startas om från början. Ett slutligt avgörande kommer att ta flera år för DPC och de irländska domstolarna. Han anklagar DPC för att vara skickliga på att hitta ”groteska” omvägar och rundgångar i juridiska processer, vilket resulterar i att amerikanska storföretag aldrig påverkas av några straffavgifter. 

Court upholds EDPB’s authority after challenge from Ireland’s DPC, IAPP, 29 januari 2025

Tillsynsbeslut mot Meta skapar spänningar mellan EDPB och Irlands dataskyddsmyndighet, Forum för Dataskydd, 13 januari 2023

EU Court: Irish DPC must investigate noyb complaint, Noyb, 29 januari 2025