EDPB: Rekordna kazen za Instagram po posredovanju EDPB
Po zavezujoči odločitvi EDPB o reševanju sporov z dne 28. julija je irski nadzorni organ sprejel svojo odločitev glede Instagrama (Meta Platforms Ireland Limited (Meta IE)) in izdal rekordno globo GDPR
Novica je bila objavljena 15.9.2022
Končna odločitev vodilnega nadzornega organa (LSA) sledi preiskavi po lastni volji v zvezi z javnim razkritjem e-poštnih naslovov in/ali telefonskih številk otrok s strani Instagrama, ki uporabljajo funkcijo poslovnega računa Instagram in privzeto javno nastavitev za osebne račune otrok na Instagramu v obdobju, ki spada v okvir časovnega obsega poizvedbe. Zaradi preiskave LSA se je ta praksa takrat končala.
Predsednica EDPB Andrea Jelinek je dejala: »To je zgodovinska odločitev. Ne samo zaradi višine kazni – to je druga najvišja kazen od začetka uporabe GDPR – je tudi prva vseevropska odločitev o pravicah otrok do varstva podatkov. S to zavezujočo odločitvijo EDPB jasno poudarja, da morajo biti podjetja, ki ciljajo na otroke, še posebej previdna. Otroci si zaslužijo posebno varstvo v zvezi z njihovimi osebnimi podatki.«
Zavezujoča odločitev EDPB je bila sprejeta na podlagi čl. 65 GDPR, potem ko je irski nadzorni organ kot vodilni nadzorni organ (LSA) sprožil postopek reševanja sporov v zvezi z ugovori, ki jih je podalo več zadevnih nadzornih organov (CSA). CSA so med drugim podali ugovore glede pravne podlage za obdelavo in določitve globe. DPC je nato po postopku reševanja spora spremenil svoj osnutek odločitve.
To je prva zavezujoča odločitev EDPB, ki obravnava enega od temeljnih stebrov zakonodaje EU o varstvu podatkov: zakonitost obdelave v skladu s čl. 6 GDPR. Zlasti je EDPB zagotovil dodatno pojasnilo o uporabnosti pravnih podlag za „izvajanje pogodbe“ in „zakoniti interes“.
Meta IE se je izmenično oprla na ti dve pravni podlagi za objavo e-poštnih naslovov in/ali telefonskih številk otrok, ki so uporabljali poslovne račune Instagram. EDPB je ugotovil, da ni bilo razlogov, da bi LSA sklenil, da je bila obravnavana obdelava potrebna za izvedbo pogodbe. Posledično se Meta IE ni mogla sklicevati na čl. 6(1)(b) GDPR kot pravno podlago za to obdelavo.
V zvezi z zakonitim interesom, kot alternativno pravno podlago za obdelavo, je EDPB ugotovil, da objava elektronskih naslovov in/ali telefonskih številk otrok ne izpolnjuje zahtev iz čl. 6(1)(f) GDPR, ker je bila obdelava nepotrebna ali, če bi se štela za potrebno, ni prestala testa tehtanja, ki se zahteva pri ugotavljanju zakonitega interesa.
EDPB je zato ugotovil, da je Meta IE osebne podatke otrok obdelovala nezakonito brez pravne podlage, in LSA naročil, naj spremeni svoj osnutek odločbe, da bi ugotovil kršitev čl. 6(1) GDPR. Nazadnje je EDPB LSA naročil, naj ponovno oceni svojo predvideno upravno globo v skladu s členom 83(1) in 83(2) GDPR na:
naloži učinkovito, sorazmerno in odvračilno upravno globo za dodatno kršitev, pri čemer upošteva naravo in težo kršitve ter število prizadetih posameznikov, na katere se nanašajo osebni podatki;
zagotoviti, da so končni zneski upravnih glob učinkoviti, sorazmerni in odvračilni.
Ta trenutna odločitev ne posega v morebitne ocene, ki bi jih lahko EDPB opravil v drugih primerih, vključno z istimi strankami.
O izrečeni kazni irskega nadzornega organa smo na portalu GDPR GURU pisali že 6.9.2022.
Odločitev irskega organa je dostopna tukaj
Vir: EDPB
