EU får böter – bröt mot GDPR

betyder inte detta att EU har dömt EU att betala böter till EU? eller jag kanske inte har fullt grep om hur det här funkar

Enligt artikeln ”Kommissionen döms därför att betala 400 euro i skadestånd till Thomas Bindl”.

Känns ändå som att systemet fungerar väl om det kan ifrågasätta och straffa sig självt

Men tyder också på att byråkratin är ganska stor

EU dömt av EU ja, men inte till EU utan till privatpersonen i fråga. Sen kanske det bör beskrivas som "skadestånd" och inte "böter".

Sten i glashus

Alltid kul när straffet är så mycket billigare än kostnaderna för att komma fram till det. 😅
4000 kr yeay, nu betala din advokat halva din årslön.

Maktdelningsprincipen in play.
Domstolen har tillämpat den av parlamentet beslutande lagstiftningen med följd att den verkställande makten (Kommissionen) bötfälls.

bäver i trähus...

GDPR är alltså totalt tandlös, när det går att bryta mot den för kaffepengar.

Det är inte kärnan i problemet. (GDPR är komplext.)
Meta har så klart servrar över hela världen, problemet var att hans info (enligt eget utsago) skickades till en Meta server utanför EU, när GDPR kräver att det skickas till en Meta server som ligger i EU.

Då kanske du tänker att det spelar väl ingen roll - Meta har fått din data ändå, men så ser inte GDPR på saken.
Visst Meta i EU har kanske fått hans uppgifter, men inte äns Meta själva får skicka det vidare från sin EU server till en av deras egna icke-EU servrar utan tillåtelse eller tillräckligt starka skäl. (Annars kan EU lägga en stämningsansökan mot Meta i EU.)

Vilket land bolaget (Meta) är registrerat i har inte någon viktig betydelse för vad denna anmälan handlade om.

Jag förtydligade / redigerade i min tidigare post.
För att överförenkla lite så innebär det att alla servrar inom EU får bara skicka din data till andra servrar inom EU, om inte särskilda skäl föreligger - eller du har gett tillåtelse.

Anledningen till att det är så strikt är enkel:
Om GDPR tillät att data skickades till servrar utanför EU obegränsat så skulle GDPR vara 100% värdelöst.
Då skulle alla företag i EU bara börja lagra sin kunddata utomlands för att gå runt GDPR.
Så även om det låter löjligt så är det ett krav för att lagarna inte ska bli tandlösa.

Även om du som EU medborgare loggar in på Meta, så ska du kunna begära att de raderar all data om dig (kärnan i GDPR) och känna dig säker på att din data faktiskt blir raderad (för den ska bara finnas på servrar inom EU - som alla måste följa GDPR och radera på din begäran) ...såvida du inte uttryckligen gett dem tillåtelse till något annat så klart.

Du vet mycket väl att nästan ingen läser igenom alla villkoren man måste godkänna för i princip alla konton/tjänster. Och läser man igenom dem så är det så mycket av de där villkoren som är medvetet luddiga att man ändå inte vet riktigt vad man godkänt.

Företag måste "godkänna" en massa när de är aktiva inom EU. [Dvs följa de lagar och regler som gäller där.] Gillar de det inte, synd för dem, bara att låta bli att göra affärer i EU då.

Det här är ju knappast något unikt, och det minsta att förväntas av en rättstat värd namnet?
Stater drar sig själva till domstol hela tiden för allt möjligt.

Nu var det ju en privatperson som drog igång processen men det är heller inte ovanligtg att allting så att säga sker in-house där en myndighet / statlig organisation är målsägande.

Hur får du det till detta? Finns väl självklart en skala där straffet anpassas efter brottet. I det här fallet så var det i praktiken inget som bröt mot GDPR annat än att dom inte kunde garantera att inget heller kunde bryta mot GDPR.

Jag tycker det verkar onödigt att slänga medborgarna under bussen när GDPR kan slänga företagen under bussen istället.
Fast jag bör kanske tillägga att företagen inte får ge dig ett avtal som säger "vi vill lagra din data för att vi känner för det".

Så även om de ger dig ett avtal, och även om du godkänner det, så måste det innehålla en rimlig motivering till varför din data lagras och hur den kommer användas. Skulle det visa sig att deras anledningar inte var rimliga, eller att din data använts på annat sätt än bara vad de ursprungligen lovat, så kan de dras inför rätta även fast du godkänt deras avtal.
...
Men vi kan så klart tycka olika. Jag tror jag är färdig med mitt förtydligande i alla fall.

Nej, felet ligger hos de som medvetet gör avtal onödigt svåra att begripa.

För att besvara din fråga...
Det du säger kan låta rimligt för inloggning, men i det generella fallet är det rimligt att GDPR är så här, och GDPR är redan tillräckligt krångligt som det är, så vi behöver inga fler specialfall. 😅

För att förtydliga så är det principiellt sidan som användaren besöker som är huvudansvarig - den agerar service-provider till slutanvändaren.
Sidan du besöker, i detta fallet en EU-ägd statlig sida, kan välja att samarbeta med andra service-providers i tredjepart, exempelvis för inloggning som i detta fallet, men är då skyldiga att redogöra för exakt vilka dessa tredjepartsaktörer är, vilken del av din data som dessa får ta del av, samt vad den rimliga anledningen är till varför de får ta del av din data. (Samt vad du behöver göra för att få din data raderad.)

Det är först efter att EU har begärt av Meta att "den här data vi skickar över till er från våra användare får ni bara lagra inom EU - och bara använda för dessa ändamål" som det börjar bli Meta's fel om data hamnar utanför EU. Men i detta fallet hade EU inte koll på vart Meta skickade användaruppgifterna - vilket direkt bevisar att de inte avtalat med Meta eller på annat vis säkerställt hur uppgifterna skulle hanteras, vilket betyder att EU brustit i sin del av ansvaret.

Mer information...
Andra exempel på tredjepartsaktör är vilket webbhotell sidan ligger på - ligger sidan t.ex. upplagd på Amazon Web Services och loggar data så som inloggningskonton, så måste databasen som lagrar den informationen ligga på europeisk mark. Samma sak med annons-tracking om den inte är super-duper anonymiserad.

För övrigt angående anonymiserad data så är GDPR extremt strängt när det kommer till vad som klassas som anonymiserat.

Totalt oavsett hur obskyr och komplex metoden än är som en person skulle behöva gå igenom för att lista ut vem en bit data tillhör så klassas den som icke-anonym om det är en teoretiskt genomförbar metod - det finns ingen gråzon, GDPR är absolut i sin dataklassning.

Exempel: Om du när du besöker en sida får ett "anonymt" slumpgenererat id tilldelat till dig, och sidan du besöker använder det id-värdet för att tracka vilken reklam som ska visas, och det värdet går att hitta i någon trafiklogg över huvud taget, hos vilken server som helst - även servrar som sidan du besöker inte äger, som på något vis går att associera till den IP-adressen du använde just då, så är det id-värdet inte klassat som anonymt enligt GDPR.

Alla som läst så här långt tänker säkert att det inte kan vara så, för då skulle det säkerligen finnas massor av sidor som bryter mot GDPR - och det är helt korrekt, det finns massor av sidor som bryter mot GDPR, inte äns EU själva lyckas få det rätt.

Ett litet sidospår....
Jag var på en väldigt intressant presentation förra året, genomförd av statistiska centralbyrån i Norge, de skulle sammanställa betygsstatistiken för alla skolor i landet, och berättade hur de fick så mycket problem med att säkerställa att det verkligen var 100% omöjligt att via den samlade betygsstatistiken de presenterade matematiskt härleda fram vad någon enda enskild medborgares betyg var, att de tillslut fick koda en matematisk-solver applikation som försökte "angripa problemet" och statistiskt beräkna fram betyget för enskilda individer på alla möjliga sätt. Både för att säkerställa att all presenterad data faktiskt blev anonym, men också för att de jagade den minsta möjliga anonymisering som kunde genomföras utan att något betyg gick att härleda. Det var ett för stort problem att på ett säkert sätt lösa med bara mänsklig tankekraft. I slutändan var de tvungna att utelämna ganska mycket statistik i sin rapport, mer än man kanske skulle kunna tro.

Om det låter helt osannolikt, tänk på att man ville rapportera mångfasetterad data, t.ex. betyg i olika åldersgrupper, geografiska regioner, utbildningsprogram, kön, välstånd, yrkesgrupper osv. - tro mig det är helt otroligt hur väl det går att härleda fram data för en enskild individ när man har så många parametrar och värden, trotts att varje enskilt värde är någon form av medelvärde.

Avslutningsvis:
Det kanske är självklart, men jag poängterar ändå att det säkert finnas något fel ovan.
GDPR är krångligt.