Hyppää sisältöön

Irlannin tietosuojaviranomaiselta ennätyksellinen seuraamusmaksu Metalle – Euroopan tietosuojaneuvosto otti kantaa lasten henkilötietojen käsittelyn lainmukaisuuteen Instagramissa

Julkaisuajankohta 26.9.2022 13.18
Uutinen

Irlannin tietosuojaviranomainen määräsi syyskuussa Euroopan tietosuojaneuvoston kiistanratkaisumenettelyssä tehdyn päätöksen perusteella Meta Platforms Ireland Limitedille kaikkien aikojen toiseksi suurimman seuraamusmaksun tietosuojarikkomuksista lasten henkilötietojen käsittelyssä Instagramissa. Sekä Irlannin päätös Instagram-selvityksestä että tietosuojaneuvoston kiistanratkaisupäätös on nyt julkaistu. Tietosuojaneuvosto otti kantaa muun muassa siihen, oliko Metalla lainmukainen peruste tavoille, joilla se käsitteli lasten henkilötietoja.

Irlannin tietosuojaviranomainen alkoi selvittää Instagramin lapsikäyttäjien henkilötietojen käsittelyä syksyllä 2020. Selvityksessään se havaitsi puutteita, jotka liittyivät Instagram-yritystiliä käyttävien lasten sähköpostiosoitteiden ja puhelinnumeroiden julkistamiseen sekä lasten henkilökohtaisten Instagram-tilien oletusarvoisesti päällä olevaan julkisuusasetukseen.

Asiaa käsiteltiin heinäkuussa Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä. Irlanti siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn sen jälkeen, kun useat asian käsittelyyn osallistuneet valvontaviranomaiset olivat esittäneet vastalauseita Irlannin päätösluonnoksesta. Myös tietosuojavaltuutetun toimisto oli osapuolena asian käsittelyssä osana tietosuojaneuvostoa.

”Tämä on ensimmäinen EU:n laajuinen päätös lasten tietosuojaoikeuksista. Tällä päätöksellä Euroopan tietosuojaneuvosto tekee erityisen selväksi, että lapsille suunnattuja palveluita tarjoavien yritysten on oltava erityisen varovaisia. Lapset ansaitsevat erityistä suojelua henkilötietojensa osalta”, tietosuojaneuvoston puheenjohtaja Andrea Jelinek kommentoi kiistanratkaisupäätöstä.

Sopimuksen täytäntöönpano tai oikeutettu etu eivät soveltuneet lasten henkilötietojen käsittelyperusteiksi

Tietosuojaneuvosto otti ensimmäistä kertaa kiistanratkaisupäätöksessä kantaa henkilötietojen käsittelyn lainmukaisuuteen. Lainmukaisuus on yksi EU:n tietosuojalainsäädännön peruspilareista.

Päätöksessä arvioitiin erityisesti sopimuksen täytäntöönpanoa sekä oikeutettua etua koskevien käsittelyperusteiden soveltuvuutta. Tietosuojaneuvosto totesi, että lasten sähköpostiosoitteiden tai puhelinnumeroiden julkaiseminen ei täyttänyt oikeutettua etua koskevia vaatimuksia, eikä tällainen tietojen käsittely ollut tarpeen sopimuksen täytäntöönpanemiseksi. Tietosuojaneuvosto katsoi siksi, että Meta käsitteli lasten henkilötietoja lainvastaisesti ilman soveltuvaa käsittelyperustetta.

Irlannin tietosuojaviranomainen täsmensi päätöstään ja seuraamusmaksun määrittelyä tietosuojaneuvoston kiistanratkaisupäätöksen perusteella. Metalle määrättiin 405 miljoonan euron seuraamusmaksu sekä annettiin huomautus tietosuojalainsäädännön rikkomuksista. Lisäksi yhtiö määrättiin korjaamaan käytäntönsä lainmukaisiksi. Tutkinnan seurauksena Meta on sittemmin muuttanut käytäntöjään Instagramiin liittyvässä henkilötietojen käsittelyssä.

Irlannin tietosuojaviranomaisen päätös on julkaistu tietosuojaneuvoston rekisterissä, joka kokoaa yhteen ETA-maiden tietosuojaviranomaisten yhteistyössä tehdyt päätökset.

Lisätietoja:

​​​​Irlannin valvontaviranomaisen tiedote viranomaisen verkkosivuilla: Data Protection Commission announces decision in Instagram Inquiry (15.9.2022)

Irlannin valvontaviranomaisen päätös tietosuojaneuvoston verkkosivuilla (pdf, englanniksi)

Tietosuojaneuvoston kiistanratkaisupäätös neuvoston verkkosivuilla

Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: Record fine for Instagram following EDPB intervention (15.9.2022)

Usein kysyttyä 65 artiklasta Euroopan tietosuojaneuvoston verkkosivuilla (pdf, englanniksi)

Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista valvontaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä.

Yhteistyömenettelyssä (ns. yhden luukun periaate) johtava valvontaviranomainen valmistelee päätösehdotuksen ja työskentelee yhdessä osallistuvien valvontaviranomaisten kanssa yhteisymmärryksen saavuttamiseksi. Yhteistyömenettelyyn osallistuvat valvontaviranomaiset voivat esittää vastalauseen päätösehdotukseen, jos ne eivät ole samaa mieltä siitä, onko tietosuoja-asetuksen säännöksiä rikottu tai onko asiassa annettava seuraamus tietosuoja-asetuksen mukainen. Jos valvontaviranomaiset ovat erimielisiä ratkaisusta, asia siirtyy tietosuojaneuvoston kiistanratkaisumenettelyyn. Yhteistyömenettelyssä annettu päätös sitoo johtavaa valvontaviranomaista ja osallistuvia valvontaviranomaisia.

Sivun alkuun