Data Protection Commission (DPC) har, efter bindande beslut från Europeiska dataskyddsstyrelsen (EDPB), bötfällt Meta Platforms Ireland Limited (Instagram) med 405 miljoner euro för överträdelser av dataskyddsförordningen (GDPR). Utöver dessa böter har DPC också utfärdat en reprimand och ett föreläggande där företaget åläggs att se till att behandlingen av personuppgifter överensstämmer med kraven genom att vidta en rad specificerade korrigerande åtgärder.
Av DPC:s pressmeddelande framgår bland annat att myndigheten inlett en granskning gällde behandlingen av personuppgifter om barn som använder den sociala nätverkstjänsten Instagram. Granskningen inleddes av den 21 september 2020 som svar på information från en amerikansk datavetare, och även i samband med frågor som DPC själv identifierat efter att ha tittat närmare på Instagrams registreringsprocess för användare. Under granskningen kontrollerade DPC särskilt publiceringen av e-postadresser och/eller telefonnummer för barn som använder Instagrams funktion för företagskonton och en standardinställning för barns personliga Instagramkonton.
Efter en omfattande granskning presenterade DPC ett utkast till beslut för alla berörda tillsynsmyndigheter i EU, i enlighet med artikel 60 GDPR. Sex av dessa tillsynsmyndigheter gjorde invändningar mot DPC:s utkast till beslut, bland annat gällande den rättsliga grunden för behandlingen och fastställandet av sanktionsavgifterna. Då DPC inte kunde nå samförstånd med berörda tillsynsmyndigheter om föremålet för invändningarna hänvisades ärendet, i enlighet med artikel 65 GDPR:s tvistlösningsförfarande, till EDPB.
Den 28 juli 2022 antog EDPB sitt bindande beslut, som avvisade en stor del av invändningarna men biföll invändningar som krävde att DPC skulle ändra sitt utkast till beslut för att inkludera ett konstaterande av en överträdelse av artikel 6.1 GDPR och ompröva sina föreslagna administrativa sanktionsavgifter på grundval av denna ytterligare överträdelse. Efter att ha införlivat dessa ändringar antogs DPC:s beslut den 2 september 2022. I beslutet konstateras överträdelser av artiklarna 5.1 (a), 5.1 (c), 6.1, 12.1, 24, 25.1, 25.2 och 35.1 GDPR.