Bruselj, 15. septembra – Na podlagi zavezujoče odločitve Evropskega odbora za varstvo podatkov o reševanju sporov z dne 28. julija je irski organ za varstvo podatkov sprejel odločitev v zvezi z Instagramom (Meta Platforms Ireland Limited (Meta IE)) in izdal rekordno globo v višini 405 milijonov EUR skladno s Splošno uredbo o varstvu podatkov.
Končna odločitev vodilnega nadzornega organa je bila sprejeta po njegovi preiskavi na lastno pobudo glede javnega razkritja elektronskih naslovov in/ali telefonskih številk otrok s strani družbe Instagram z uporabo funkcije poslovnega računa Instagram in privzete nastavitve osebnih računov otrok na Instagramu v obdobju, ki spada v okvir preiskave. Zaradi preiskave vodilnega nadzornega organa se je navedena praksa končala. Predsednica Evropskega odbora za varstvo podatkov Andrea Jelinek je dejala: „To je zgodovinska odločitev. Ne le zaradi višine globe – to je druga najvišja globa od začetka uporabe Splošne uredbe o varstvu podatkov – je tudi prva odločitev na ravni EU o pravicah otrok do varstva podatkov. Evropski odbor za varstvo podatkov s to zavezujočo odločitvijo jasno sporoča, da morajo biti podjetja, katerih ciljno občinstvo so otroci, posebej previdna. Otroci si zaslužijo posebno varstvo v zvezi z njihovimi osebnimi podatki.“
Zavezujoča odločitev Evropskega odbora za varstvo podatkov je bila sprejeta na podlagi člena 65 Splošne uredbe o varstvu podatkov, potem ko je irski organ za varstvo podatkov kot vodilni nadzorni organ sprožil postopek reševanja sporov v zvezi z ugovori več zadevnih nadzornih organov. Med drugim so zadevni nadzorni organi vložili ugovore glede pravne podlage za obdelavo in določitve globe. Irski organ za varstvo podatkov je nato po postopku reševanja sporov spremenil svoj osnutek sklepa.
To je prva zavezujoča odločitev Evropskega odbora za varstvo podatkov, ki obravnava enega od temeljnih stebrov prava EU o varstvu podatkov: zakonitost obdelave v skladu s členom 6 Splošne uredbe o varstvu podatkov. Evropski odbor za varstvo podatkov je zlasti zagotovil dodatna pojasnila o uporabi pravnih podlag „izvajanje pogodbe“ in „zakoniti interes“.
Družba Meta IE se je za objavo elektronskih naslovov in/ali telefonskih številk otrok, ki so uporabljali poslovne račune Instagrama, oprla na ti pravni podlagi. Evropski odbor za varstvo podatkov je ugotovil, da ni razlogov, da bi vodilni nadzorni organ sklenil, da je zadevna obdelava potrebna za izvajanje pogodbe. Zato se družba Meta IE ni mogla sklicevati na člen 6(1)(b) Splošne uredbe o varstvu podatkov kot pravno podlago za to obdelavo.
Kar zadeva zakoniti interes kot alternativno pravno podlago za obdelavo, je Evropski odbor za varstvo podatkov ugotovil, da objava elektronskih naslovov in/ali telefonskih številk otrok ne izpolnjuje zahtev iz člena 6(1)(f) Splošne uredbe o varstvu podatkov, saj je bila obdelava nepotrebna ali, če bi se štela za potrebno, ni prestala preskusa tehtanja, ki se zahteva pri določanju zakonitega interesa.
Evropski odbor za varstvo podatkov je zato sklenil, da je družba Meta IE osebne podatke otrok obdelovala nezakonito, brez pravne podlage in vodilnemu nadzornemu organu naročil, naj spremeni svoj osnutek sklepa, da bi ugotovil kršitev člena 6(1) Splošne uredbe o varstvu podatkov.
Nazadnje je Evropski odbor za varstvo podatkov vodilnemu nadzornemu organu naročil, naj ponovno oceni predvideno upravno globo v skladu s členom 83(1) in členom 83(2) Splošne uredbe o varstvu podatkov, s čimer naj:
- naloži učinkovito, sorazmerno in odvračilno upravno globo za dodatno kršitev, pri čemer naj upošteva naravo in težo kršitve ter število prizadetih posameznikov, na katere se nanašajo osebni podatki;
- zagotovi, da so končni zneski upravnih glob učinkoviti, sorazmerni in odvračilni.
Ta odločitev ne posega v morebitne ocene, ki bi jih moral Evropski odbor za varstvo podatkov opraviti v drugih primerih, vključno z istimi strankami.
Končna odločitev irskega organa za varstvo podatkov je na voljo v Registru za odločitve, ki jih sprejmejo nadzorni organi in sodišča v zvezi z vprašanji, obravnavanimi v okviru mehanizma za skladnost.
Več informacij o postopku iz člena 65 Splošne uredbe o varstvu podatkov je na voljo v Dokumentu o pogosto zastavljenih vprašanjih po členu 65.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.