Gegevensbeschermingsautoriteit (GBA) har beslutat att avvisa flera klagomål mot Meta Platforms Technologies Ireland Limited då myndigheten inte ansåg sig behörig att fatta i beslut i frågan enligt artikel 60 dataskyddsförordningen (GDPR).
Den belgiska dataskyddsmyndigheten avvisade flera klagomål mot Meta efter en personuppgiftsincident, eftersom den ansåg att den var bunden av en tidigare irländsk dataskyddsnämnds beslut i frågan, även om dataskyddsnämndens beslut fokuserade på andra bestämmelser i dataskyddsförordningen än klagomålen.
Av beslutet framgår att GBA efter ett misstänkt dataläckage som rörde cirka 3 000 000 belgiska Facebook-användare den 7 april 2021 uppmanade belgiska medborgare att kontrollera om deras uppgifter var en del av dataläckaget på webbplatsen https://benikerbij.be, och att vid behov lämna in ett klagomål till myndigheten. Efter denna uppmaning lämnades 1 113 klagomål in.
Den 14 april 2021 inledde den irländska dataskyddsmyndigheten Data Protection Commission (DPC) en utredning på eget initiativ för att fastställa om Meta uppfyllde sina skyldigheter i fråga om integritetsskydd med funktionerna Facebook Search, Facebook Contact Importer, Messenger Contact och Instagram Contact. Den 29 juli 2021 underrättades DPC om att det fanns klagomål om de händelser som utreddes hos GBA.
I september 2022 överlämnade DPC i enlighet med artikel 60.3 GDPR ett utkast till beslut till olika dataskyddsmyndigheter, inklusive den belgiska, som meddelade sina invändningar. I synnerhet ansåg GBA, i motsats till vad DPC ansett, att dataskrapning borde betraktats som en personuppgiftsincident och att Meta haft en skyldighet att informera sina användare om dataläckaget.
Den 25 november 2022 antog DPC sitt slutliga beslut. Dess utredning visade att standardinställningarna i Facebooks sökverktyg gjorde det möjligt för alla användare att hitta varandras profiler via sina telefonnummer eller e-postadresser (med möjlighet att inaktivera det manuellt). DPC drog därför slutsatsen att det fanns en stor risk för att telefonnummer och e-postadresser skulle skrapas och kopplas till ägarens identitet. DPC konstaterade också att Meta efter personuppgiftsincidenten inte genomfört lämpliga tekniska och organisatoriska åtgärder och inte kunnat visa att man genomfört en riskanalys.
DPC fann därför att det skett en överträdelse av artiklarna 25.1, 25.2, 5.1 (b) och 5.1 (f) GDPR, beordrade Meta att följa bestämmelserna och ålade Meta att betala 265 miljoner euro i böter för överträdelserna av artiklarna 25.1 och 25.2 GDPR.
Klagomålen i Belgien gällde en möjlig överträdelse av artiklarna 32-34 GDPR och DPC:s beslut var inriktat på artikel 25 GDPR. Den viktigaste frågan var enligt DPC inte om det förekom ett otillåtet utlämnande av personuppgifter eller någon annan form av dataintrång, utan i vilken utsträckning lämpliga åtgärder hade vidtagits för att säkerställa att principerna om dataskydd iakttogs vid genomförandet av Meta-användarnas val. Av denna anledning inriktade sig DPC:s utredning på artikel 25 GDPR. GBA ansåg att fokuseringen på artikel 25 GDPR inte innebar någon skada för de klagande.
Inom ramen för samarbetsförfarandet enligt artikel 60 GDPR ansåg GBA att den var bunden av DPC:s beslut, som var exklusivt behörig. GBA avvisade därför klagomålen i Belgien.