Rekordowa kara pieniężna dla Instagramu po interwencji EROD

15 September 2022

Bruksela, 15 września – Na podstawie wiążącej decyzji EROD w sprawie rozstrzygnięcia sporu z 28 lipca irlandzki organ ochrony danych przyjął decyzję dotyczącą Instagramu (Meta Platforms Ireland Limited, „Meta IE”) i nałożył na podstawie RODO karę pieniężną w rekordowej wysokości 405 mln euro.

Ostateczna decyzja wiodącego organu nadzorczego jest następstwem dochodzenia z urzędu w sprawie publicznego ujawniania przez Instagram adresów e-mail lub numerów telefonów dzieci korzystających z konta biznesowego Instagramu oraz w sprawie domyślnego ustawienia jako publiczne osobistych kont na Instagramie prowadzonych przez dzieci w okresie objętym dochodzeniem. Praktykę te zakończono w wyniku dochodzenia przeprowadzonego przez wiodący organ nadzorczy. Przewodnicząca EROD Andrea Jelinek oznajmiła: „To decyzja o historycznym znaczeniu. Nie tylko ze względu na wysokość kary pieniężnej – bo jest to druga pod względem wysokości kara pieniężna od czasu, gdy zaczęło obowiązywać RODO. Jest to również pierwsza ogólnounijna decyzja w sprawie prawa dzieci do ochrony dotyczących ich danych. Swoją decyzją EROD bardzo wyraźnie pokazuje, że przedsiębiorstwa kierujące swoją ofertę do dzieci muszą się wykazać wyjątkową ostrożnością. Szczególnej ochrony danych osobowych wymagają dzieci”.

Wiążąca decyzja EROD została przyjęta na podstawie art. 65 RODO po tym, jak irlandzki organ ochrony danych, jako wiodący organ nadzorczy, wszczął procedurę rozstrzygania sporów w odniesieniu do sprzeciwów zgłoszonych przez kilka organów nadzorczych, których sprawa dotyczy. Organy te zgłosiły m.in. sprzeciwy do podstawy prawnej przetwarzania i ustalenia wysokości kary pieniężnej. Następnie Komisja Ochrony Danych (irlandzki organ ochrony danych) wprowadziła zmiany do swojego projektu decyzji w następstwie procedury rozstrzygania sporów.

Jest to pierwsza wiążąca decyzja EROD dotycząca jednego z podstawowych filarów unijnego prawa o ochronie danych: zgodności przetwarzania z prawem w świetle art. 6 RODO. EROD doprecyzowała przede wszystkim zakres stosowania podstaw prawnych dotyczących „wykonania umowy” i „prawnie uzasadnionych interesów”.

Spółka Meta IE przywoływała na zmianę obie te podstawy prawne w odniesieniu do publikacji adresów e-mail lub numerów telefonów dzieci, które korzystały z konta biznesowego Instagramu. EROD stwierdziła, że nie ma podstaw do tego, aby wiodący organ nadzorczy mógł stwierdzić, że przetwarzanie, o którym mowa, jest niezbędne do wykonania umowy. W związku z tym spółka Meta IE nie mogła powołać się na art. 6 ust. 1 lit. b) RODO jako podstawę prawną tego przetwarzania.

Jeżeli chodzi o prawnie uzasadniony interes, jako alternatywną podstawę prawną przetwarzania danych, EROD stwierdziła, że publikacja adresów e-mail lub numerów telefonów dzieci nie spełniała wymogów określonych w art. 6 ust. 1 lit. f) RODO, ponieważ przetwarzanie danych albo było zbędne, albo – gdyby miano je uznać za niezbędne – nie przeszło testu równowagi, który jest wymagany przy określaniu prawnie uzasadnionego interesu.

EROD stwierdziła zatem, że spółka Meta IE przetwarzała dane osobowe dzieci w sposób niezgodny z prawem, bez podstawy prawnej, i poleciła wiodącemu organowi nadzorczemu zmianę projektu decyzji w celu stwierdzenia naruszenia art. 6 ust. 1 RODO.

Ponadto EROD poleciła wiodącemu organowi nadzorczemu ponowne oszacowanie przewidywanej administracyjnej kary pieniężnej zgodnie z art. 83 ust. 1 i 2 RODO w celu:

  • nałożenia skutecznej, proporcjonalnej i odstraszającej administracyjnej kary pieniężnej za dodatkowe naruszenie, biorąc pod uwagę charakter i wagę naruszenia, jak również liczbę poszkodowanych osób, których dane dotyczą;
  • zapewnienia, aby ostateczne kwoty administracyjnych kar pieniężnych były skuteczne, proporcjonalne i odstraszające.

Decyzja ta nie ma wpływu na wszelkie późniejsze oceny, których EROD może dokonać w innych sprawach, również z udziałem tych samych stron.

Ostateczna decyzja podjęta przez irlandzki organ ochrony danych jest dostępna w rejestrze decyzji podejmowanych przez organy nadzorcze i sądy w sprawach rozpatrywanych w ramach mechanizmu spójności.

Więcej informacji na temat procedury określonej w art. 65 RODO można znaleźć w odpowiedziach na najczęściej zadawane pytania dotyczące art. 65.

 

EROD_Komunikat prasowy_oświadczenie_2022_08

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.