Brussel, 15 september — Naar aanleiding van het bindende geschillenbeslechtingsbesluit van het EDPB van 28 juli heeft de Ierse gegevensbeschermingsautoriteit haar besluit ten aanzien van Instagram (Meta Platforms Ireland Limited (Meta IE)) aangenomen en een recordboete van 405 miljoen EUR opgelegd op grond van de AVG.
Het definitieve besluit van de leidende toezichthoudende autoriteit volgt op een uit eigen initiatief gevoerd onderzoek naar de openbaarmaking door Instagram van e-mailadressen en/of telefoonnummers van kinderen die gebruikmaken van een businessaccount op Instagram en naar de instelling om op persoonlijke Instagramaccounts van kinderen informatie standaard openbaar te maken, gedurende de periode die binnen het tijdsbestek van het onderzoek viel. Als gevolg van het onderzoek door de leidende toezichthoudende autoriteit is Instagram hier intussen mee gestopt. Andrea Jelinek, voorzitter van de EDPB: “Dit is een historisch besluit. Niet alleen vanwege de hoogte van de boete, die de op één na hoogste boete is sinds de inwerkingtreding van de AVG, maar ook omdat dit het eerste EU-brede besluit is dat betrekking heeft op de gegevensbeschermingsrechten van kinderen. Met dit bindende besluit maakt de EDPB zeer duidelijk dat bedrijven die zich richten op kinderen extra voorzichtig moeten zijn. Kinderen en hun persoonsgegevens verdienen specifieke bescherming.”
Het bindende besluit van de EDPB is vastgesteld op basis van artikel 65 AVG, nadat de Ierse gegevensbeschermingsautoriteit als leidende toezichthoudende autoriteit de geschillenbeslechtingsprocedure in gang had gezet met betrekking tot de bezwaren van verschillende betrokken toezichthoudende autoriteiten. De betrokken toezichthoudende autoriteiten maakten onder meer bezwaar tegen de rechtsgrondslag voor de verwerking en de vaststelling van de geldboete. Naar aanleiding van de geschillenbeslechtingsprocedure heeft de gegevensbeschermingsautoriteit haar ontwerpbesluit gewijzigd.
Dit is het eerste bindende besluit van de EDPB dat betrekking heeft op een van de fundamentele pijlers van de EU-wetgeving inzake gegevensbescherming, namelijk de rechtmatigheid van de verwerking overeenkomstig artikel 6 AVG. De EDPB heeft met name de toepasselijkheid van de rechtsgrondslagen “uitvoering van een overeenkomst” en “gerechtvaardigd belang” verder verduidelijkt.
Meta IE heeft voor het publiceren van e-mailadressen en/of telefoonnummers van kinderen die gebruik hebben gemaakt van bedrijfsaccounts op Instagram afwisselend deze twee rechtsgrondslagen gehanteerd. De EDPB oordeelde dat er voor de leidende toezichthoudende autoriteit geen redenen waren om te concluderen dat de betrokken verwerking noodzakelijk was voor de uitvoering van een overeenkomst. Meta IE had zich dus niet kunnen beroepen op artikel 6, lid 1, punt b), AVG als rechtsgrondslag voor deze verwerking.
Wat het gerechtvaardigd belang betreft als alternatieve rechtsgrondslag voor de verwerking is de EDPB tot de bevinding gekomen dat het publiceren van de e-mailadressen en/of telefoonnummers van kinderen niet voldeed aan de vereisten van artikel 6, lid 1, punt f), AVG, aangezien de verwerking niet noodzakelijk was of, indien zij noodzakelijk zou worden geacht, niet voldeed aan de vereiste afwegingstoets bij het bepalen van het gerechtvaardigde belang.
De EDPB concludeerde dan ook dat Meta IE persoonsgegevens van kinderen onrechtmatig, zonder rechtsgrondslag, heeft verwerkt, en heeft de leidende toezichthoudende autoriteit opgedragen haar ontwerpbesluit te wijzigen om vast te stellen dat inbreuk is gemaakt op artikel 6, lid 1, AVG.
Tot slot heeft de EDPB de leidende toezichthoudende autoriteit opgedragen de administratieve geldboete die zij voornemens was op te leggen overeenkomstig artikel 83, leden 1 en 2, AVG opnieuw te beoordelen om:
- voor de aanvullende inbreuk een administratieve boete op te leggen die doeltreffend, evenredig en afschrikkend is, rekening houdend met de aard en de ernst van de inbreuk, alsook met het aantal betrokkenen;
- ervoor te zorgen dat de definitieve bedragen van de administratieve geldboeten doeltreffend, evenredig en afschrikkend zijn.
Dit huidige besluit loopt niet vooruit op eventuele beoordelingen van de EDPB in andere gevallen, ook met dezelfde partijen.
Het definitieve besluit van de Ierse gegevensbeschermingsautoriteit is beschikbaar in het register van besluiten van toezichthoudende autoriteiten en gerechten over in het kader van het coherentiemechanisme behandelde aangelegenheden.
Meer informatie over de procedure van artikel 65 vindt u in de veelgestelde vragen over artikel 65.
EDPB_Press Release_statement_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.