Hoppa till innehåll

Den irländska dataskyddsmyndigheten påförde Meta rekordhög påföljdsavgift – Europeiska dataskyddsstyrelsen tog ställning till huruvida behandlingen av personuppgifter av barn på Instagram var laglig

Utgivningsdatum 26.9.2022 13.18 | Publicerad på svenska 3.10.2022 kl. 16.50
Nyhet

Den irländska dataskyddsmyndigheten påförde i september på basis av Europeiska dataskyddsstyrelsens tvistlösningsbeslut Meta Platforms Ireland Limited den näst största påföljdsavgiften någonsin för överträdelser av dataskyddsförordningen vid behandling av personuppgifter av barn på Instagram. Både Irlands beslut om Instagram-utredningen och dataskyddsstyrelsens tvistlösningsbeslut har nu publicerats. Dataskyddsstyrelsen tog ställning bland annat på huruvida Meta hade en laglig grund för de sätt på vilka barnens personuppgifter behandlades.

Den irländska dataskyddsmyndigheten började under hösten 2020 utreda behandlingen av personuppgifter av barn som använder Instagram. Under utredningen upptäcktes brister vad gäller publiceringen av e-postadresser och telefonnummer för barn som använder Instagrams företagskonton samt standardinställningen för offentlighet av barns personliga Instagramkonton.

Ärendet behandlades i juli i samarbete mellan dataskyddsmyndigheterna inom EES. Irland överförde ärendet till dataskyddsstyrelsens tvistlösningsförfarande efter det att flera av de tillsynsmyndigheter som deltagit i ärendets behandling hade framfört invändningar mot Irlands beslutsutkast. Även den finländska dataombudsmannens byrå deltog i ärendets behandling inom dataskyddsstyrelsen.

”Detta är det första beslutet om barnens dataskyddsrättigheter som omfattar hela EU. Med beslutet gör Europeiska dataskyddsstyrelsen det väldigt klart att företag som erbjuder tjänster för barn ska iaktta särskild försiktighet. Barn förtjänar särskilt skydd vad gäller deras personuppgifter”, kommenterade dataskyddsstyrelsens ordförande Andrea Jelinek tvistlösningsbeslutet.

Fullgörandet av ett avtal eller berättigat intresse var inte tillämpliga som behandlingsgrunder av barnens personuppgifter

I sitt tvistlösningsbeslut tog dataskyddsstyrelsen för första gången ställning till lagligheten av behandlingen av personuppgifter. Laglighet är en av grundpelarna i EU:s dataskyddslagstiftning.

I beslutet granskades i synnerhet om fullgörandet av ett avtal eller berättigat intresse var tillämpliga som behandlingsgrunder. Dataskyddsstyrelsen konstaterade att publiceringen av barns e-postadresser eller telefonnummer inte uppfyllde kraven för berättigat intresse och att dylik behandling av uppgifter inte var nödvändig för att fullgöra ett avtal. Således ansåg dataskyddsstyrelsen att Meta behandlade barns personuppgifter lagstridigt utan någon tillämplig behandlingsgrund.

Irlands dataskyddsmyndighet preciserade sitt beslut och fastställandet av en påföljdsavgift på basis av dataskyddsstyrelsens tvistlösningsbeslut. Meta påfördes en påföljdsavgift på 405 miljoner euro. Bolaget fick också en reprimand om överträdelser av dataskyddslagstiftningen. Bolaget ålades också att ändra sin praxis så att den följer lagen. Till följd av granskningen har Meta sedermera ändrat sin praxis för behandling av personuppgifter på Instagram.

Irlands dataskyddsmyndighets beslut har publicerats i registret för EES-ländernas dataskyddsmyndigheters beslut som tagits i gränsöverskridande samarbete.

Mer information:

​​​​Irländska tillsynsmyndighetens meddelande på myndighetens webbplats: Data Protection Commission announces decision in Twitter inquiry (15.9.2022)

Irländska tillsynsmyndighetens beslut på dataskyddsstyrelsens webbplats (pdf, på engelska)

Dataskyddsstyrelsens tvistlösningsbeslut på styrelsens webbplats

Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats: ​​​​​​​Record fine for Instagram following EDPB intervention (15.9.2022)

Artikel 65 – Vanliga frågor på Europeiska dataskyddsstyrelsens webbplats (på engelska)

Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende EU-organ som utgörs av EU:s nationella tillsynsmyndigheter och representanter för europeiska datatillsynsmannen. Även EES-länderna Island, Norge och Liechtenstein är medlemmar i dataskyddsstyrelsen.

Vid samarbetsförfarande (s.k. systemet med en enda kontaktpunkt, eng. One-Stop-Shop). bereder den ledande tillsynsmyndigheten ett beslutsförslag och arbetar tillsammans med de deltagande tillsynsmyndigheterna för att nå samförstånd. Tillsynsmyndigheter som deltar i samarbetsförfarandet kan göra en invändning mot ett förslag till beslut om de inte är eniga om huruvida det har brutits mot dataskyddsförordningens bestämmelser eller huruvida den planerade åtgärden är förenlig med dataskyddsförordningen. Om tillsynsmyndigheterna inte är eniga om beslutet hänvisas ärendet till dataskyddsstyrelsens tvistlösningsförfarande. Ett beslut som antagits inom ramverket för samarbetsförfarande är bindande för den ledande tillsynsmyndigheten och de deltagande tillsynsmyndigheterna.

Tillbaka till toppen