Hur påverkar Österrikes högsta domstols avgörande mot Meta våra krav på dataexport och hantering av känslig data?

Det kräver att vi kan leverera fullständig, detaljerad dataherkomst inom 14 dagar utan att dölja oss bakom affärshemligheter. Vi måste säkerställa att känslig data separeras korrekt och att personanpassad reklam upphör om inget uttryckligt samtycke finns.

Vilka konkreta risker och kostnader innebär detta avgörande för vår efterlevnad av GDPR?

Det sänker tröskeln för rättsprocesser genom att fastställa en undre gräns för skadestånd (500 euro per användare), vilket gör brister i efterlevnad till omedelbara ekonomiska skyldigheter. Våra leverantörer måste nu kunna bevisa exakt var varje datapunkt kommer ifrån för att undvika detta.

Meta tvingas till full transparens

Österrikes högsta domstol har meddelat ett slutgiltigt och bindande avgörande mot Meta. Företaget tvingas ge användare fullständig och detaljerad tillgång till deras personuppgifter inom fjorton dagar. Domstolen avvisade Metas argument om att affärshemligheter skulle begränsa utlämnandet, vilket tvingar fram en tidigare okänd grad av transparens kring hur användardata samlas in, delas och bearbetas. För svenska teknikledare är detta inte bara en juridisk fotnot; det är en tydlig varning om att rättigheten till dataåtkomst handhävs med aggressiv precision och att eran av vag integritetspolicy är över.

Domstolen tolkar artikel 15 i GDPR exakt som den är skriven: en kopia på en kopia av all data, inklusive specifika ändamål, källor och mottagare för varje enskild datapunkt. Meta kan inte längre dölja sig bakom generiska nedladdningsverktyg eller hävda att känslig data som politiska åsikter eller hälsouppgifter är för svår att separera. Domstolen klargjorde att plattformar enligt artikel 9 i GDPR måste behandla sådan data annorlunda om inte ett uttryckligt och informerat samtycke inhämtats. Domstolen bekräftade dessutom att personanpassad reklam utan sådant samtycke är olaglig, vilket förstärker tidigare avgöranden från EU-domstolen. Den praktiska konsekvensen är tydlig: om du inte kan förklara och separera datan kan du inte bearbeta den.

För CTO:er och CISO:er som förlitar sig på stora externa plattformar är riskerna nu konkreta. Domstolen dömde ut 500 euro i skadestånd för dessa överträdelser, vilket etablerar en realistig undre gräns för icke-materiella skador som varje drabbad användare kan kräva. Detta sänker tröskeln för rättsprocesser, vilket innebär att brister i efterlevnad inte längre är abstrakta risker utan omedelbara ekonomiska skyldigheter. Mer kritiskt är kravet på fullständig dataherkomst: varje API eller tjänst du använder måste kunna tillhandahålla denna detaljnivå på begäran. Om din leverantör inte kan bevisa var varje byte kommer ifrån och vem som sett den, bryter du mot reglerna. Bevisbördan har flyttats helt till den som behandlar datan.

Detta avgörande understryker skörheten i att förlita sig på externa dataekosystem för kärnverksamhet. När det juridiska kravet på transparens blir så absolut blir komplexiteten i att hantera tredjepartsdataflöden ohållbar. Det stärker det strategiska behovet av att bearbeta data lokalt inom EU och Sverige. Genom att behålla datan inom huset eliminerar du risken för leverantörens bristande efterlevnad och behåller full kontroll över herkomsten och separationen av känslig information. I ett regelverk som kräver total insyn är suveränitet inte bara ett önskemål; det är ett krav för efterlevnad.