EU-kommissionen fälld av EU-domstolen

EU-kommissionen har dömts av EU-domstolen för att ha brutit mot dataskyddsförordningen GDPR. Detta efter att den tyske medborgaren Thomas Bindl stämde kommissionen efter att hans personuppgifter skickats vidare till Meta i USA utan tillräckliga skyddsåtgärder.

Upprinnelsen kommer sig av att kommissionen anordnade en konferens där deltagare kunde anmäla sig via deras webbplats. För att registrera sig erbjöds alternativet att logga in med Facebook. När användare valde detta skickades uppgifter som IP-adress, webbläsare och operativsystem till Meta genom Amazon Web Services (AWS). Bindl hävdade att dessa uppgifter överfördes till en server i Seattle, vilket skulle innebära en otillåten överföring av personuppgifter till ett tredje land utan rättslig grund.

Domstolen hittade inga bevis för att AWS eller Meta vidarebefordrade uppgifterna till USA från den initiala servern i München. Trots detta ansågs kommissionen ha brutit mot GDPR genom att inte kunna garantera att sådana överföringar inte skedde.

Nu har EU-domstolen ålagt kommissionen att betala 400 euro i skadestånd till Thomas Bindl för den icke-materiella skada han lidit på grund av osäkerheten kring hanteringen av hans personuppgifter. Kommissionen ska också stå för sina egna rättegångskostnader samt hälften av Bindls kostnader. Den andra hälften får Bindl själv stå för - det framgår inte om den summan överstiger 400 euro.