Irland: Instagram bötfälls med 405 miljoner euro för olaglig behandling av barns personuppgifter

Data Protection Commission (DPC) har, efter bindande beslut från Europeiska dataskyddsstyrelsen (EDPB), bötfällt Meta Platforms Ireland Limited (Instagram) med 405 miljoner euro för överträdelser av dataskyddsförordningen (GDPR). Utöver dessa böter har DPC också utfärdat en reprimand och ett föreläggande där företaget åläggs att se till att behandlingen av personuppgifter överensstämmer med kraven genom att vidta en rad specificerade korrigerande åtgärder.

Av DPC:s pressmeddelande framgår bland annat att myndigheten inlett en granskning gällde behandlingen av personuppgifter om barn som använder den sociala nätverkstjänsten Instagram. Granskningen inleddes av den 21 september 2020 som svar på information från en amerikansk datavetare, och även i samband med frågor som DPC själv identifierat efter att ha tittat närmare på Instagrams registreringsprocess för användare. Under granskningen kontrollerade DPC särskilt publiceringen av e-postadresser och/eller telefonnummer för barn som använder Instagrams funktion för företagskonton och en standardinställning för barns personliga Instagramkonton.

Efter en omfattande granskning presenterade DPC ett utkast till beslut för alla berörda tillsynsmyndigheter i EU, i enlighet med artikel 60 GDPR. Sex av dessa tillsynsmyndigheter gjorde invändningar mot DPC:s utkast till beslut, bland annat gällande den rättsliga grunden för behandlingen och fastställandet av sanktionsavgifterna. Då DPC inte kunde nå samförstånd med berörda tillsynsmyndigheter om föremålet för invändningarna hänvisades ärendet, i enlighet med artikel 65 GDPR:s tvistlösningsförfarande, till EDPB.

Den 28 juli 2022 antog EDPB sitt bindande beslut, som avvisade en stor del av invändningarna men biföll invändningar som krävde att DPC skulle ändra sitt utkast till beslut för att inkludera ett konstaterande av en överträdelse av artikel 6.1 GDPR och ompröva sina föreslagna administrativa sanktionsavgifter på grundval av denna ytterligare överträdelse. Efter att ha införlivat dessa ändringar antogs DPC:s beslut den 2 september 2022. I beslutet konstateras överträdelser av artiklarna 5.1 (a), 5.1 (c), 6.1, 12.1, 24, 25.1, 25.2 och 35.1 GDPR.

Mer information

Myndighet: Data Protection Commission (DPC), Europeiska dataskyddsstyrelsen (EDPB)

Land: Irland, EU

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 24 GDPR, art. 25 GDPR, art. 35 GDPR

Sanktionsavgift: 405 000 000 euro

Mottagare: Meta Platforms Ireland Limited (Instagram)

Beslutsnummer: Binding Decision 2/2022

Beslutsdatum: 2022-07-28

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.