Bruxelles, den 15. september — Efter Databeskyttelsesrådets bindende afgørelse om tvistbilæggelse af 28. juli har den irske databeskyttelsesmyndighed vedtaget sin afgørelse vedrørende Instagram (Meta Platforms Ireland Limited (Meta IE)) og har i henhold til den generelle forordning om databeskyttelse (GDPR) idømt en rekordstor bøde på 405 mio. EUR.
Den ledende tilsynsmyndigheds endelige afgørelse markerer kulminationen på en undersøgelse på eget initiativ af Instagrams offentliggørelse af e-mailadresser og/eller telefonnumre på børn, der benytter Instagrams virksomhedskonto og en "offentlig-som-standard"-indstilling for børns personlige Instagramkonti, i undersøgelsesperioden. Denne praksis er siden ophørt som følge af den ledende tilsynsmyndigheds undersøgelse. Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Dette er en historisk afgørelse. Ikke blot på grund af bødens størrelse, som er den næststørste siden GDPR's ikrafttræden, men også fordi det er den første EU-dækkende afgørelse om børns databeskyttelsesrettigheder. Med denne bindende afgørelse gør Databeskyttelsesrådet det yderligere klart, at virksomheder, der retter sig mod børn, skal være ekstra forsigtige. Børn fortjener særlig beskyttelse af deres personoplysninger."
Databeskyttelsesrådets bindende afgørelse blev vedtaget på grundlag af artikel 65 i GDPR, efter at den irske databeskyttelsesmyndighed som ledende tilsynsmyndighed havde igangsat tvistbilæggelsesproceduren som følge af indsigelser fra flere berørte tilsynsmyndigheder. De berørte tilsynsmyndigheder gjorde indsigelser vedrørende bl.a. retsgrundlaget for behandlingen og fastsættelsen af bøden. Databeskyttelseskoordinatoren ændrede efterfølgende sit udkast til afgørelse efter tvistbilæggelsesproceduren.
Dette er Det Europæiske Databeskyttelsesråds første bindende afgørelse, der vedrører en af de bærende søjler i EU's databeskyttelseslovgivning, nemlig lovligheden af behandlingen under overholdelse af artikel 6 i GDPR. Databeskyttelsesrådet præciserede navnlig, hvornår retsgrundlagene "opfyldelse af kontrakt" og "legitim interesse" kan anvendes.
Meta IE benyttede sig af disse to retsgrundlag for at offentliggøre e-mailadresser og/eller telefonnumre på børn, der anvendte Instagrams virksomhedskonto. Databeskyttelsesrådet fandt, at der ikke var nogen grund til, at den ledende tilsynsmyndighed skulle konkludere, at den pågældende behandling var nødvendig for opfyldelsen af en kontrakt. Meta IE kunne derfor ikke benytte sig af artikel 6, stk. 1, litra b), i GDPR som retsgrundlag for denne behandling.
Med hensyn til legitim interesse som alternativt retsgrundlag for behandlingen fandt Databeskyttelsesrådet, at offentliggørelsen af børns e-mailadresser og/eller telefonnumre ikke opfyldte kravene i artikel 6, stk. 1, litra f), i GDPR, da behandlingen enten var unødvendig eller, hvis den blev anset for nødvendig, ikke bestod den afvejningstest, der kræves for at fastslå legitim interesse.
Databeskyttelsesrådet konkluderede derfor, at Meta IE uden retsgrundlag behandlede børns personoplysninger ulovligt, og pålagde den ledende tilsynsmyndighed at ændre sit udkast til afgørelse med henblik på at fastslå overtrædelsen af artikel 6, stk. 1, i GDPR.
Endelig pålagde Databeskyttelsesrådet den ledende tilsynsmyndighed at revurdere den planlagte bøde i overensstemmelse med artikel 83, stk. 1 og 2, i GDPR for at:
- pålægge en bøde, der er effektiv, står i et rimeligt forhold til overtrædelsen og har en afskrækkende virkning, for den yderligere overtrædelse under hensyntagen til overtrædelsens art og grovhed samt antallet af berørte registrerede
- sikre, at de endelige bødesummer er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.
Denne afgørelse berører ikke eventuelle vurderinger, som Databeskyttelsesrådet måtte blive anmodet om at foretage i andre sager, herunder med de samme parter.
Den irske databeskyttelsesmyndigheds endelige afgørelse er tilgængelig i registret over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der behandles inden for rammerne af sammenhængsmekanismen.
Yderligere oplysninger om databeskyttelsesforordningens artikel 65-procedure findes i FAQ
EDPB_Pressemeddelelse_udtalelse_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.