Persondataforordningen: En analyse af de persondataretlige problemstillinger i sagen om Cambridge Analytica
Oversat titel
The General Data Protection Regulation: An analysis of the problems related to the regulation of personal data in the Cambridge Analytica case
Forfatter
Bruun, Daniel
Semester
4. semester
Uddannelse
Udgivelsesår
2018
Afleveret
2018-05-17
Antal sider
58
Abstract
Formålet med afhandlingen er at undersøge, om Facebook og Cambridge Analytica har overtrådt EU’s generelle forordning om databeskyttelse (GDPR), og om deres adfærd kan føre til sanktioner. Undersøgelsen bygger på relevante retskilder og nyhedsartikler, der fungerer som de faktiske oplysninger i Cambridge Analytica-sagen. Afhandlingen lægger til grund, at de juridiske spørgsmål afgøres efter den nye forordning og ikke efter det tidligere databeskyttelsesdirektiv. Først vurderes det, om sagens faktiske omstændigheder opfylder forordningens materielle og territoriale anvendelsesområde. Sagen vedrører behandling af meget følsomme personoplysninger om 87 millioner Facebook-brugere, udført fra Cambridge Analyticas kontor i Storbritannien. Dermed er GDPR anvendelig i sagen. Herefter vurderes lovligheden af Cambridge Analyticas aktiviteter. Det afvises, at Facebook-brugere har opgivet deres datarettigheder ved at gøre oplysninger tilgængelige på platformen. Der er heller ikke påvist noget lovligt behandlingsgrundlag, der kan retfærdiggøre de påståede aktiviteter. Cambridge Analytica har derfor tilsidesat de grundlæggende principper for behandling af personoplysninger i GDPR. Undersøgelsen finder også, at Facebook som dataansvarlig (den, der bestemmer formål og midler for behandlingen) ikke har levet op til sine forpligtelser. Særligt har virksomheden ikke sikret et tilstrækkeligt niveau af datasikkerhed, som kunne have beskyttet oplysninger mod misbrug til ulovlige formål. Facebook undlod desuden at orientere de berørte registrerede og den relevante tilsynsmyndighed, efter at virksomheden blev bekendt med et brud på persondatasikkerheden. Dermed har Facebook tilsidesat centrale forpligtelser for den dataansvarlige efter GDPR. Da overtrædelserne angår forordningens helt centrale behandlingsprincipper, kan den strengeste sanktionsramme komme i anvendelse for begge virksomheder. Facebook kan derfor pålægges en administrativ bøde på op til 4 % af sin samlede årlige, globale omsætning. Cambridge Analytica har indledt insolvensbehandling, hvilket gør det vanskeligere at forudsige de retlige konsekvenser. Den britiske datatilsynsmyndighed (ICO) har dog udtalt, at alle juridiske muligheder holdes åbne, mens efterforskningen fortsætter.
This thesis examines whether Facebook and Cambridge Analytica violated the EU’s General Data Protection Regulation (GDPR) and whether their conduct could lead to sanctions. The analysis draws on relevant legal sources and news reports that supply the facts of the Cambridge Analytica case. It proceeds on the assumption that the issues are governed by the new Regulation rather than the former Data Protection Directive. The study first assesses whether the case meets the GDPR’s material and territorial scope. It concerns the processing of highly sensitive personal data about 87 million Facebook users, carried out from Cambridge Analytica’s office in the United Kingdom. On that basis, the GDPR applies. The thesis then evaluates the legality of Cambridge Analytica’s activities. It rejects the idea that Facebook users forfeited their data rights by sharing information on the platform. It also finds no lawful basis that could justify the company’s alleged processing. Cambridge Analytica therefore breached the GDPR’s fundamental data processing principles. The study likewise finds that Facebook, as the data controller (the entity that determines the purposes and means of processing), did not fulfill its obligations. In particular, Facebook failed to ensure an adequate level of data security that could have protected the data from being exploited for unlawful purposes. Facebook also failed to notify the affected data subjects and the relevant supervisory authority after becoming aware of a personal data breach. As a result, Facebook did not meet key controller obligations under the GDPR. Because the infringements relate to core processing principles, the highest tier of sanctions can apply to both companies. Facebook could therefore face an administrative fine of up to 4% of its total worldwide annual turnover. Cambridge Analytica has entered insolvency proceedings, which makes the legal consequences harder to predict. However, the UK Information Commissioner’s Office (ICO) has stated that it is keeping all legal options open while its investigation continues.
[Dette resumé er genereret ved hjælp af AI]
Emneord