Brüsszel, szeptember 15. – Az Európai Adatvédelmi Testület július 28-i kötelező erejű vitarendezési döntését követően az ír adatvédelmi hatóság elfogadta az Instagramra (Meta Platforms Ireland Limited (Meta IE)) vonatkozó döntését, és az általános adatvédelmi rendeletben foglaltaknak megfelelően bírságot szabott ki rá. A 405 millió eurós bírság rekord összegnek számít.
A fő felügyeleti hatóság arra alapozta a végleges döntését, hogy előzőleg saját kezdeményezésére megvizsgálta az Instagram azon gyakorlatát, hogy az üzleti fiókját használó gyermekek e-mail-címét és/vagy telefonszámát nyilvánosságra hozza, valamint a gyermekek személyes Instagram-fiókjainak alapértelmezetten nyilvános a beállítása. Az Instagram a fő felügyeleti hatóság vizsgálatát követően beszüntette ezt a gyakorlatot. Andrea Jelinek, az Európai Adatvédelmi Testület elnöke a következőket nyilatkozta: „Ez egy történelmi jelentőségű döntés. Nemcsak azért, mert a bírság összege magas – az általános adatvédelmi rendelet alkalmazásának kezdete óta ez a második legnagyobb büntetés –, hanem mert ez az első uniós szintű döntés a gyermekek adatvédelmi jogaival kapcsolatban. Ezzel a kötelező erejű döntéssel az Európai Adatvédelmi Testület egyértelművé teszi, hogy a gyermekeket megcélzó vállalatoknak fokozott körültekintéssel kell eljárniuk. A gyermekek személyes adatai különleges védelmet érdemelnek.”
Az Európai Adatvédelmi Testület azután fogadta el a kötelező erejű döntését, hogy az ír adatvédelmi hatóság mint fő felügyeleti hatóság megindította a több érintett felügyeleti hatóság által emelt kifogásokat érintő vitarendezési eljárást. A döntés alapja az általános adatvédelmi rendelet 65. cikke volt. Az érintett felügyeleti hatóságok többek között az adatfeldolgozás jogalapjával és a bírság meghatározásával kapcsolatban emeltek kifogásokat. Az ír adatvédelmi hatóság a vitarendezési eljárást követően módosította döntéstervezetét.
Ez az Európai Adatvédelmi Testület első olyan kötelező erejű döntése, amely az uniós adatvédelmi jog egyik alapvető pillérével, az adatkezelés jogszerűségével foglalkozik (lásd az általános adatvédelmi rendelet 6. cikkét). Az Európai Adatvédelmi Testület mindenekelőtt pontosította a „szerződés teljesítése” és a „jogos érdek” jogalapjának alkalmazhatóságát.
A Meta IE e két jogalapra hivatkozva tette közzé az Instagram üzleti fiókját használó gyermekek e-mail-címét és/vagy telefonszámát. Az Európai Adatvédelmi Testület megállapította, hogy nem megalapozott a fő felügyeleti hatóságnak az a következtetése, hogy a szóban forgó adatkezelés szükséges a szerződés teljesítéséhez. Következésképpen a Meta IE ezen adatkezelés jogalapjaként nem hivatkozhatott volna az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontjára.
Az adatkezelés alternatív jogalapjaként megnevezett jogos érdeket illetően az Európai Adatvédelmi Testület megállapította, hogy a gyermekek e-mail-címének és/vagy telefonszámának közzététele nem felelt meg az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjában foglalt követelményeknek, mivel az adatkezelés vagy szükségtelen volt, vagy ha szükséges volt is, nem felelt meg a jogos érdek meghatározását lehetővé tévő mérlegelési teszten.
Az Európai Adatvédelmi Testület ezért arra a következtetésre jutott, hogy a Meta IE jogellenesen, jogalap nélkül kezelte a gyermekek személyes adatait. A testület tehát utasította a fő felügyeleti hatóságot, hogy olyan módon módosítsa döntéstervezetét, hogy az állapítsa meg: az általános adatvédelmi rendelet 6. cikke (1) bekezdésében foglaltak kapcsán jogsértés történt.
Végezetül az Európai Adatvédelmi Testület utasította a fő felügyeleti hatóságot, hogy vizsgálja felül az általános adatvédelmi rendelet 83. cikkének (1) bekezdésével és 83. cikkének (2) bekezdésével összhangban kiszabni tervezett közigazgatási bírságot, hogy:
- hatékony, arányos és visszatartó erejű közigazgatási bírságot szabjon ki a további jogsértésre, figyelembe véve a jogsértés jellegét és súlyosságát, valamint az érintettek számát;
- biztosítsa, hogy a közigazgatási bírságok végleges összegei hatékonyak, arányosak és visszatartó erejűek legyenek.
Ez a döntés nem érinti azokat az esetleges értékeléseket, amelyekre az Európai Adatvédelmi Testületet más, akár ugyanezeket a feleket érintő esetekben felkérhetik.
Az ír adatvédelmi hatóság által hozott végleges döntés elérhető abban a nyilvántartásban, amely a felügyeleti hatóságok és a bíróságok által az egységes alkalmazást célzó mechanizmus keretében kezelt ügyekkel kapcsolatban hozott döntéseket tartalmazza.
Az általános adatvédelmi rendelet 65. cikke szerinti eljárással kapcsolatban további információkat olvashat ezen a honlapon.
Európai Adatvédelmi Testület_Sajtóközlemény_nyilatkozat_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.