Bruxelles, 15 septembrie – În urma pronunțării, la 28 iulie, de către CEPD a deciziei sale obligatorii în materie de soluționare a litigiilor, Autoritatea irlandeză pentru protecția datelor (APD) a adoptat o decizie cu privire la Instagram [Meta Platforms Ireland Limited (Meta IE)] și a aplicat acestei companii o amendă record în valoare de 405 milioane EUR în temeiul RGPD.
Decizia finală a autorității de supraveghere principale (ASP) a fost pronunțată în urma unei anchete din proprie inițiativă cu privire la divulgarea publică de către Instagram a adreselor de e-mail și/sau a numerelor de telefon ale mai multor copii care utilizau un cont profesional pe Instagram și o setare prin care conturile lor personale pe Instagram erau implicit publice, în perioada care a făcut obiectul anchetei. Această practică a fost între timp întreruptă ca urmare a anchetei ASP. Președinta CEPD, Andrea Jelinek, a declarat: „Decizia de astăzi este o decizie istorică. Nu numai din perspectiva valorii extrem de mari a amenzii – de la intrarea în vigoare a RGPD, o singură altă amendă având o valoare mai mare – ci și datorită faptului că este prima decizie luată la nivelul UE care are ca obiect drepturile copiilor în materie de protecție a datelor. Prin această decizie obligatorie, CEPD statuează fără ambiguitate că întreprinderile care îi vizează pe copii prin acțiunile lor trebuie să fie mult mai prudente. Copiii merită să beneficieze de o protecție specifică în ceea ce privește datele lor cu caracter personal.”
Decizia obligatorie a CEPD a fost adoptată în temeiul articolului 65 din RGPD, după ce APD irlandeză, în calitate de autoritate de supraveghere principală (ASP), a inițiat procedura de soluționare a litigiilor cu privire la obiecțiile formulate de mai multe autorități de supraveghere vizate (ASV). Printre altele, ASV-urile au emis obiecții cu privire la temeiul juridic al prelucrării și al stabilirii amenzii. Ulterior, Comisia irlandeză de protecție a datelor (CPD) a adus modificări proiectului său de decizie în urma procedurii de soluționare a litigiilor.
Aceasta este prima decizie obligatorie a CEPD care abordează unul dintre pilonii fundamentali ai legislației UE privind protecția datelor: legalitatea prelucrării în conformitate cu articolul 6 din RGPD. În special, CEPD a furnizat clarificări suplimentare cu privire la aplicabilitatea temeiurilor juridice care țin de „executarea contractului” și „interesul legitim”.
Meta IE s-a bazat alternativ pe aceste două temeiuri juridice atunci când a făcut publice adresele de e-mail și/sau numerele de telefon ale copiilor care utilizau conturi profesionale pe Instagram. CEPD a constatat că ASP nu avea motive să concluzioneze că prelucrarea în cauză era necesară pentru executarea unui contract. În consecință, Meta IE nu putea invoca articolul 6 alineatul (1) litera (b) din RGPD ca temei juridic pentru această prelucrare.
În ceea ce privește interesul legitim ca temei juridic alternativ pentru prelucrare, CEPD a constatat că publicarea adreselor de e-mail și/sau a numerelor de telefon ale copiilor nu a îndeplinit cerințele prevăzute la articolul 6 alineatul (1) litera (f) din RGPD, deoarece prelucrarea a fost fie nenecesară, fie, în eventualitatea în care era considerată necesară, nu a trecut testul comparativ necesar pentru stabilirea interesului legitim.
Prin urmare, CEPD a concluzionat că Meta IE a prelucrat datele cu caracter personal ale copiilor în mod ilegal, fără să existe un temei juridic pentru această prelucrare, și a solicitat ASP să modifice proiectul său de decizie pentru a stabili încălcarea articolului 6 alineatul (1) din RGPD.
În sfârșit, CEPD a încredințat ASP misiunea să reevalueze valoarea amenzii administrative avute în vedere, în conformitate cu articolul 83 alineatul (1) și cu articolul 83 alineatul (2) din RGPD, astfel încât:
- să impună o amendă administrativă eficace, proporțională și disuasivă pentru încălcarea suplimentară, ținând seama de natura și de gravitatea încălcării, precum și de numărul persoanelor vizate afectate;
- să asigure faptul că valoarea finală a amenzilor administrative aplicate este eficace, proporțională și disuasivă.
Prezenta decizie nu aduce atingere evaluării pe care CEPD ar putea fi chemată să o realizeze în alte cazuri, inclusiv cu aceleași părți.
Decizia finală luată de APD irlandeză este disponibilă în Registrul deciziilor luate de autoritățile de supraveghere și de instanțe cu privire la aspectele tratate în cadrul mecanismului pentru asigurarea coerenței.
Pentru informații suplimentare cu privire la procedura prevăzută la articolul 65 din RGPD, vă rugăm să consultați secțiunea Întrebări frecvente privind articolul 65.
CEPD_Comunicat de presă_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.